Budworm ponovo udara: ažurirani SysUpdate cilja vladin i telekom sektor

Budworm APT grupa razvija svoj sajber arsenal. U najnovijem otkriću, Symantecov Threat Hunter Team identifikovao je da je Budworm prilagodio i nadogradio jedan od svojih primarnih alata. Dva značajna subjekta, azijska vlada i bliskoistočna telekomunikaciona firma, bili su na meti ove obnovljene strategije.

Zaronimo u detalje

• U avgustu 2023. godine, Budworm, također poznat kao LuckyMouse, Emissary Panda i APT27, pokrenuo je napad primjenom ažuriranog SysUpdate backdoor-a – SysUpdate DLL inicore_v2.3.30.dll. 
• Grupa je ovo kombinovala sa mešavinom prilagođenog malvera, zajedno sa nekoliko living-off-the-land i javno dostupnih alata. 
• Primarni cilj hakera bio je prikupljanje kredencijala.

Analizirajući arsenal

• Tehnika koja je zaštitni znak Budworm-a sastoji se od izvršavanja SysUpdate-a na mrežama žrtava bočnim učitavanjem DLL payload-a pomoću autentične INISafeWebSSO aplikacije – taktika koju koristi najmanje od 2018. 
• SysUpdate je višestruki backdoor sa mogućnostima u rasponu od upravljanja datotekama i izvršavanja naredbi do pravljenja snimaka ekrana i procesa pregledavanja. 
• Grupa je, nadalje, koristila legitimne alate kao što su AdFind, Curl, SecretsDump i PasswordDumper u svojoj nedavnoj kampanji, naglašavajući svoj metodološki pristup napadima, miješajući zlonamjerne alate s legitimnim kako bi se izbjegla sumnja.

Zašto je ovo važno

• Polazeći od 2013. godine, Budwormovi napori su prvenstveno bili usmjereni na subjekte u sektoru odbrane, vlade i tehnologije, posebno u jugoistočnoj Aziji, na Bliskom istoku i u SAD-u. 
• Profil žrtve APT27, poput nedavnog ciljanja jedne azijske vlade i bliskoistočne telekom kompanije, u skladu je s njegovim ciljevima prikupljanja obavještajnih podataka.
• Najnovija verzija SysUpdate-a potvrđuje kontinuirani razvoj grupe alata.

Zaključak 

Organizacije bi trebale proaktivno ažurirati i zakrpiti svoje sisteme kako bi se suprotstavili poznatim ranjivostima koje iskorištavaju alati kao što je SysUpdate. Napredna rješenja za obavještavanje o prijetnjama i praćenje mogu pomoći u identifikaciji i suzbijanju neobičnih aktivnosti, posebno onih povezanih s poznatim hakerima kao što je Budworm.

Izvor: Cyware Alerts – Hacker News