Las entidades gubernamentales y de telecomunicaciones han sido sometidas a una nueva ola de ataques por parte de un actor de amenazas vinculado a China rastreado como Gusano de las yemas utilizando un conjunto de herramientas de malware actualizado.
Las intrusiones, dirigidas a una organización de telecomunicaciones de Oriente Medio y a un gobierno asiático, tuvieron lugar en agosto de 2023, y el adversario desplegó una versión mejorada de su kit de herramientas SysUpdate, el Symantec Threat Hunter Team, parte de Broadcom. dicho en un informe compartido con The Hacker News.
Se sabe que Budworm, también conocido por los nombres APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse y Red Phoenix, está activo desde al menos 2013, apuntando a una amplia gama de verticales de la industria en pos de sus objetivos de recopilación de inteligencia. .
El grupo de estado-nación aprovecha varias herramientas como China Chopper web shell, Gh0st RAT, HyperBro, PlugX, SysUpdate y ZXShell para filtrar información de alto valor y mantener el acceso a sistemas confidenciales durante un largo período de tiempo.
Un informe anterior de SecureWorks en 2017 reveló la inclinación del atacante por recopilar inteligencia política, de seguridad y de defensa de organizaciones de todo el mundo, lo que lo caracteriza como una amenaza formidable.
También se ha observado que explota servicios vulnerables conectados a Internet para obtener acceso a redes específicas. A principios de marzo, Trend Micro arrojó luz sobre la versión Linux de SysUpdate, que incluye capacidades para eludir el software de seguridad y resistir la ingeniería inversa.
La puerta trasera tiene muchas funciones, lo que permite realizar capturas de pantalla, finalizar procesos arbitrarios, realizar operaciones con archivos, recuperar información de la unidad y ejecutar comandos.
«Además de su malware personalizado, Budworm también utilizó una variedad de herramientas disponibles públicamente en estos ataques», dijo Symantec. «Parece que la actividad del grupo pudo haber sido detenida temprano en la cadena de ataque, ya que la única actividad maliciosa observada en las máquinas infectadas es la recolección de credenciales».
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Con el último desarrollo, Budworm es la nueva incorporación a una lista cada vez mayor de actores de amenazas que han puesto sus ojos en el sector de las telecomunicaciones en el Medio Oriente, incluidos grupos previamente indocumentados denominados ShroudedSnooper y Sandman.
«Budworm ha utilizado SysUpdate desde al menos 2020, y los atacantes parecen desarrollar continuamente la herramienta para mejorar sus capacidades y evitar la detección».
«Ese Budworm continúa utilizando un malware conocido (SysUpdate), junto con técnicas que se sabe que favorece, como Carga lateral de DLL usar una aplicación que ha usado para este propósito anteriormente, indica que el grupo no está demasiado preocupado por tener esta actividad asociada con él si se descubre».