Olarak bilinen tehdit aktörü Şanslı Fare SysUpdate adlı bir kötü amaçlı yazılım araç setinin Linux sürümünü geliştirerek, işletim sistemini çalıştıran cihazları hedefleme yeteneğini genişletiyor.
Güncellenen yapının en eski sürümü Temmuz 2022’ye kadar uzanıyor ve kötü amaçlı yazılım, güvenlik yazılımlarından kaçınmak ve tersine mühendisliğe direnmek için tasarlanmış yeni özellikler içeriyor.
Siber güvenlik şirketi Trend Micro söz konusu komuta ve kontrol (C2) altyapısının kurulmasından yaklaşık bir ay sonra, Haziran 2022’de eşdeğer Windows varyantını gözlemledi.
Lucky Mouse ayrıca APT27, Bronze Union, Emissary Panda ve Iron Tiger takma adları altında izlenir ve aşağıdakiler gibi çeşitli kötü amaçlı yazılımları kullandığı bilinmektedir: Sistem GüncellemesiHyperBro, PlugX ve rshell olarak adlandırılan bir Linux arka kapısı.
Son iki yılda, tehdit grubu tarafından yönetilen kampanyalar, güvenliği ihlal edilmiş sistemlere uzaktan erişim elde etmek için Able Desktop ve MiMi Chat gibi meşru uygulamaların tedarik zinciri ihlallerini benimsedi.
Ekim 2022’de Intrinsec detaylı “gigabaytlarca veriyi” sızdıran aylarca süren bir operasyonun parçası olarak HyperBro’yu teslim etmek için Microsoft Exchange Server’daki ProxyLogon güvenlik açıklarını kullanan bir Fransız şirketine yönelik bir saldırı.
Son kampanyanın hedefleri arasında, 2019’dan bu yana defalarca Iron Tiger’ın saldırısına uğrayan bir sektör olan Filipinler’deki bir kumar şirketi yer alıyor.
Saldırıda kullanılan tam enfeksiyon vektörü net değil, ancak işaretler, Youdu gibi mesajlaşma uygulamaları kılığına giren yükleyicilerin saldırı dizisini etkinleştirmek için yem olarak kullanıldığına işaret ediyor.
SysUpdate’in Windows sürümüne gelince, işlemleri yönetme, ekran görüntüsü alma, dosya işlemlerini gerçekleştirme ve isteğe bağlı komutları yürütme özellikleriyle birlikte gelir. Ayrıca, DNS Tüneli Oluşturma olarak bilinen bir teknik olan DNS TXT istekleri aracılığıyla C2 sunucularıyla iletişim kurabilir.
Geliştirme ayrıca, Windows makinelerinde SysUpdate’i dağıtmak için Wazuh imzalı bir yürütülebilir dosyada yandan yükleme güvenlik açığını silahlandıran bir tehdit aktörünün ilk kez tespit edildiğini gösteriyor.
C++ ile yazılmış Linux ELF örnekleri, dosya işleme işlevlerini taşımak için Asio kitaplığını kullanmakla dikkat çekiyor, bu da rakibin kötü amaçlı yazılım için platformlar arası destek eklemek istediğini gösteriyor.
Trend Micro, rshell’in zaten Linux ve macOS üzerinde çalışabildiği göz önüne alındığında, SysUpdate’in gelecekte bir macOS çeşidine sahip olma olasılığının göz ardı edilemeyeceğini söyledi.
Dikkate alınması gereken başka bir araç, web tarayıcısında saklanan çerezleri ve şifreleri toplamak için özelliklerle birlikte gelen özel bir Chrome şifresi ve çerez yakalayıcıdır.
Güvenlik araştırmacısı Daniel Lunghi, “Bu soruşturma, Iron Tiger’ın yeni özellikler eklemek ve muhtemelen diğer platformlara taşınabilirliğini kolaylaştırmak için araçlarını düzenli olarak güncellediğini doğruluyor.” .”
