Grup peretasan APT27, alias “Iron Tiger,” telah menyiapkan versi Linux baru dari malware akses jarak jauh khusus SysUpdate, yang memungkinkan grup spionase dunia maya Tiongkok untuk menargetkan lebih banyak layanan yang digunakan di perusahaan.
Menurut laporan baru oleh Mikro Trenpara peretas pertama kali menguji versi Linux pada Juli 2022. Namun, baru pada Oktober 2022 banyak muatan mulai beredar di alam liar.
Varian malware baru ini ditulis dalam C++ menggunakan pustaka ASIO, dan fungsinya sangat mirip dengan SysUpdate versi Windows dari Iron Tiger.
Ketertarikan pelaku ancaman untuk memperluas cakupan penargetan ke sistem di luar Windows menjadi jelas musim panas terakhir ketika SEKOIA dan Trend Micro melaporkan melihat APT27 menargetkan sistem Linux dan macOS menggunakan pintu belakang baru bernama “rshell”.
Kampanye terbaru APT27
Kampanye SysUpdate yang diamati dianalisis oleh Trend Micro menerapkan sampel Windows dan Linux terhadap target yang valid.
Salah satu korban dari kampanye ini adalah sebuah perusahaan perjudian di Filipina, yang serangannya menggunakan server perintah dan kontrol yang terdaftar dengan domain yang mirip dengan merek korban.
Vektor infeksi tidak diketahui, tetapi analis Trend Micro berhipotesis bahwa aplikasi obrolan digunakan sebagai umpan untuk mengelabui karyawan agar mengunduh muatan infeksi awal.
Salah satu item yang telah berevolusi dibandingkan dengan kampanye sebelumnya yang mengandalkan SysUpdate adalah proses pemuatan, yang sekarang menggunakan eksekusi “Microsoft Resource Compiler” yang sah dan ditandatangani secara digital (rc.exe) untuk melakukan pemuatan sisi DLL dengan rc.dll untuk memuat kode shell .
Shellcode memuat tahap pertama SysUpdate di memori, sehingga sulit dideteksi oleh AV. Kemudian, ia memindahkan file yang diperlukan ke folder hardcoded dan menetapkan persistensi dengan modifikasi Registry atau dengan membuat layanan, bergantung pada izin proses.
Tahap kedua akan diluncurkan setelah reboot sistem berikutnya untuk mendekompresi dan memuat muatan SysUpdate utama.
SysUpdate adalah alat akses jarak jauh kaya fitur yang memungkinkan aktor ancaman melakukan berbagai perilaku jahat seperti yang tercantum di bawah ini:
- Manajer layanan (daftar, memulai, menghentikan, dan menghapus layanan)
- Tangkapan layar
- Manajer proses (menelusuri dan mengakhiri proses)
- Mendorong pengambilan informasi
- Manajer file (menemukan, menghapus, mengganti nama, mengunggah, mengunduh file, dan menelusuri direktori)
- Eksekusi perintah
Trend Micro berkomentar bahwa Iron Tiger menggunakan eksekusi bertanda Wazuh pada tahap sideload selanjutnya untuk berbaur dengan lingkungan korban, karena organisasi target menggunakan platform Wazuh yang sah.
SysUpdate versi Linux baru
Varian Linux dari SysUpdate adalah ELF yang dapat dieksekusi dan berbagi kunci enkripsi jaringan umum dan fungsi penanganan file dengan mitra Windows-nya.
Biner mendukung lima parameter yang menentukan apa yang harus dilakukan malware selanjutnya: menyetel kegigihan, melakukan daemonisasi proses, menyetel GUID (Pengidentifikasi Unik Global) untuk sistem yang terinfeksi, dll.
Malware menetapkan kegigihan dengan menyalin skrip ke direktori “/usr/lib/systemd/system/”, tindakan yang memerlukan hak pengguna root.
Saat diluncurkan, ia mengirimkan informasi berikut ke server C2:
- GUID (dipilih secara acak jika parameternya tidak digunakan sebelumnya)
- Nama tuan rumah
- Nama belakang
- Alamat IP lokal dan port yang digunakan untuk mengirim permintaan
- PID saat ini
- Versi kernel dan arsitektur mesin
- Jalur file saat ini
- Boolean (0 jika diluncurkan dengan tepat satu parameter, 1 jika tidak)
Salah satu fitur baru dalam varian Linux SysUpdate adalah tunneling DNS, yang hanya terlihat pada satu sampel malware Windows.
SysUpdate memperoleh informasi DNS dari file “/etc/resolv.conf” untuk mengambil alamat IP DNS sistem default yang dapat digunakan untuk mengirim dan menerima permintaan DNS. Jika gagal, ia menggunakan server DNS Google di 8.8.8.8.
Gagasan sistem ini adalah untuk mem-bypass firewall atau alat keamanan jaringan yang mungkin dikonfigurasi untuk memblokir semua lalu lintas di luar daftar alamat IP tertentu yang diizinkan.
Trend Micro mengatakan pilihan perpustakaan ASIO untuk mengembangkan versi Linux dari SysUpdate mungkin karena portabilitas multi-platformnya dan memperkirakan bahwa versi macOS dari malware akan segera muncul di alam liar.
