El actor de amenazas conocido como Ratón de la suerte ha desarrollado una versión Linux de un conjunto de herramientas de malware llamado SysUpdate, ampliando su capacidad para apuntar a dispositivos que ejecutan el sistema operativo.
La versión más antigua del artefacto actualizado data de julio de 2022, y el malware incorpora nuevas funciones diseñadas para evadir el software de seguridad y resistir la ingeniería inversa.
Empresa de ciberseguridad Trend Micro dicho observó la variante equivalente de Windows en junio de 2022, casi un mes después de que se configurara la infraestructura de comando y control (C2).
Lucky Mouse también se rastrea bajo los nombres APT27, Bronze Union, Emissary Panda y Iron Tiger, y se sabe que utiliza una variedad de malware como Actualización del sistemaHyperBro, PlugX y una puerta trasera de Linux denominada rshell.
En los últimos dos años, las campañas orquestadas por el grupo de amenazas han adoptado compromisos de la cadena de suministro de aplicaciones legítimas como Able Desktop y MiMi Chat para obtener acceso remoto a sistemas comprometidos.
En octubre de 2022, Intrinsec detallado un ataque a una empresa francesa que utilizó las vulnerabilidades de ProxyLogon en Microsoft Exchange Server para entregar HyperBro como parte de una operación de meses que exfiltró “gigabytes de datos”.
Los objetivos de la última campaña incluyen una empresa de apuestas en Filipinas, un sector que ha sido atacado repetidamente por Iron Tiger desde 2019.
El vector de infección exacto utilizado en el ataque no está claro, pero las señales apuntan al uso de instaladores disfrazados de aplicaciones de mensajería como Youdu como señuelos para activar la secuencia de ataque.
En cuanto a la versión de Windows de SysUpdate, viene con funciones para administrar procesos, tomar capturas de pantalla, realizar operaciones con archivos y ejecutar comandos arbitrarios. También es capaz de comunicarse con servidores C2 a través de solicitudes DNS TXT, una técnica llamada DNS Tunneling.
El desarrollo también marca la primera vez que se detecta un actor de amenazas armando una vulnerabilidad de carga lateral en un ejecutable firmado por Wazuh para implementar SysUpdate en máquinas con Windows.
Las muestras de ELF de Linux, escritas en C++, se destacan por usar la biblioteca Asio para portar las funciones de manejo de archivos, lo que indica que el adversario está buscando agregar soporte multiplataforma para el malware.
Dado que rshell ya es capaz de ejecutarse en Linux y macOS, no se puede descartar la posibilidad de que SysUpdate pueda tener una versión de macOS en el futuro, dijo Trend Micro.
Otra herramienta importante es una contraseña personalizada de Chrome y un capturador de cookies que viene con funciones para recolectar cookies y contraseñas almacenadas en el navegador web.
“Esta investigación confirma que Iron Tiger actualiza regularmente sus herramientas para agregar nuevas funciones y probablemente para facilitar su portabilidad a otras plataformas”, dijo el investigador de seguridad Daniel Lunghi, y agregó que “corrobora el interés de este actor de amenazas en la industria del juego y la región del sudeste asiático”. .”