More

    Budworm ponovo udara: ažurirani SysUpdate cilja vladin i telekom sektor

    Budworm APT grupa razvija svoj sajber arsenal. U najnovijem otkriću, Symantecov Threat Hunter Team identifikovao je da je Budworm prilagodio i nadogradio jedan od svojih primarnih alata. Dva značajna subjekta, azijska vlada i bliskoistočna telekomunikaciona firma, bili su na meti ove obnovljene strategije.

    Zaronimo u detalje

    • U avgustu 2023. godine, Budworm, također poznat kao LuckyMouse, Emissary Panda i APT27, pokrenuo je napad primjenom ažuriranog SysUpdate backdoor-a – SysUpdate DLL inicore_v2.3.30.dll. 
    • Grupa je ovo kombinovala sa mešavinom prilagođenog malvera, zajedno sa nekoliko living-off-the-land i javno dostupnih alata. 
    • Primarni cilj hakera bio je prikupljanje kredencijala.

    Analizirajući arsenal

    • Tehnika koja je zaštitni znak Budworm-a sastoji se od izvršavanja SysUpdate-a na mrežama žrtava bočnim učitavanjem DLL payload-a pomoću autentične INISafeWebSSO aplikacije – taktika koju koristi najmanje od 2018. 
    • SysUpdate je višestruki backdoor sa mogućnostima u rasponu od upravljanja datotekama i izvršavanja naredbi do pravljenja snimaka ekrana i procesa pregledavanja. 
    • Grupa je, nadalje, koristila legitimne alate kao što su AdFind, Curl, SecretsDump i PasswordDumper u svojoj nedavnoj kampanji, naglašavajući svoj metodološki pristup napadima, miješajući zlonamjerne alate s legitimnim kako bi se izbjegla sumnja.

    Zašto je ovo važno

    • Polazeći od 2013. godine, Budwormovi napori su prvenstveno bili usmjereni na subjekte u sektoru odbrane, vlade i tehnologije, posebno u jugoistočnoj Aziji, na Bliskom istoku i u SAD-u. 
    • Profil žrtve APT27, poput nedavnog ciljanja jedne azijske vlade i bliskoistočne telekom kompanije, u skladu je s njegovim ciljevima prikupljanja obavještajnih podataka.
    • Najnovija verzija SysUpdate-a potvrđuje kontinuirani razvoj grupe alata.

    Zaključak 

    Organizacije bi trebale proaktivno ažurirati i zakrpiti svoje sisteme kako bi se suprotstavili poznatim ranjivostima koje iskorištavaju alati kao što je SysUpdate. Napredna rješenja za obavještavanje o prijetnjama i praćenje mogu pomoći u identifikaciji i suzbijanju neobičnih aktivnosti, posebno onih povezanih s poznatim hakerima kao što je Budworm.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories