A cyber tiger

APT27 ハッキング グループ、別名「Iron Tiger」は、SysUpdate カスタム リモート アクセス マルウェアの新しい Linux バージョンを準備しました。これにより、中国のサイバースパイ グループは、企業で使用されるより多くのサービスを標的にすることができます。

Trend Microの新しいレポートによると、ハッカーは 2022 年 7 月に Linux バージョンを最初にテストしました。

新しいマルウェアの亜種は、Asio ライブラリを使用して C++ で記述されており、その機能は、Iron Tiger の Windows バージョンの SysUpdate と非常によく似ています。

標的の範囲を Windows 以外のシステムに拡大することに脅威アクターが関心を持っていることは、 昨年の夏にSEKOIA と Trend Micro が、「rshell」という名前の新しいバックドアを使用して Linux および macOS システムを標的とする APT27 を確認したことを報告したときに明らかになりました。

APT27 の最新のキャンペーン

トレンドマイクロが分析した観測された SysUpdate キャンペーンでは、有効なターゲットに対して Windows と Linux の両方のサンプルが展開されました。

このキャンペーンの被害者の 1 つはフィリピンのギャンブル会社で、被害者のブランドに似たドメインに登録されたコマンド アンド コントロール サーバーを攻撃に利用していました。

感染経路は不明ですが、Trend Micro のアナリストは、従業員をだまして最初の感染ペイロードをダウンロードさせるためのルアーとしてチャット アプリが使用されたという仮説を立てています。

SysUpdate に依存する過去のキャンペーンと比較して進化した項目の 1 つはロード プロセスです。これは現在、正当でデジタル署名された「Microsoft Resource Compiler」実行可能ファイル (rc.exe) を使用して、rc.dll で DLL サイドローディングを実行し、シェルコードをロードします。 .

シェルコードは SysUpdate の最初の段階をメモリにロードするため、AV が検出するのは困難です。次に、必要なファイルをハードコーディングされたフォルダーに移動し、プロセスのアクセス許可に応じて、レジストリの変更またはサービスの作成によって永続性を確立します。

2 番目の段階は、次のシステムの再起動後に起動され、プライマリ SysUpdate ペイロードを解凍してロードします。

SysUpdate 感染チェーン
SysUpdate 感染チェーン(Trend Micro)

SysUpdate は機能豊富なリモート アクセス ツールであり、脅威アクターが以下に示すさまざまな悪意のある動作を実行できるようにします。

  • サービス マネージャー (サービスの一覧表示、開始、停止、および削除)
  • スクリーンショットグラブ
  • プロセス マネージャー (プロセスの参照と終了)
  • ドライブ情報検索
  • ファイル マネージャー (ファイルの検索、削除、名前変更、アップロード、ダウンロード、およびディレクトリの参照)
  • コマンド実行

Trend Micro は、ターゲット組織が正規の Wazuh プラットフォームを使用していたため、Iron Tiger が後のサイドローディング段階で Wazuh 署名付きの実行可能ファイルを使用して被害者の環境に溶け込んだとコメントしています。

最新の APT27 キャンペーンで使用されたファイル
最新の APT27 キャンペーンで使用されたファイル(Trend Micro)

SysUpdate の新しい Linux バージョン

SysUpdate の Linux 版は ELF 実行可能ファイルであり、共通のネットワーク暗号化キーとファイル処理機能を Windows 版と共有します。

このバイナリは、マルウェアが次に何をすべきかを決定する 5 つのパラメータをサポートしています。永続性の設定、プロセスのデーモン化、感染したシステムの GUID (Globally Unique Identifier) の設定などです。

SysUpdate バイナリに渡すことができるパラメーター
SysUpdate バイナリ(Trend Micro)に渡すことができるパラメータ

マルウェアは、スクリプトを「/usr/lib/systemd/system/」ディレクトリにコピーすることで永続性を確立します。これには root ユーザー権限が必要です。

コピーされたスクリプトの内容
コピーされたスクリプトの内容(トレンドマイクロ)

起動すると、次の情報が C2 サーバーに送信されます。

  • GUID (パラメーターが以前に使用されていない場合はランダムに選択されます)
  • ホスト名
  • ユーザー名
  • リクエストの送信に使用されるローカル IP アドレスとポート
  • 現在の PID
  • カーネルのバージョンとマシンのアーキテクチャ
  • 現在のファイル パス
  • ブール値 (厳密に 1 つのパラメーターで起動された場合は 0、それ以外の場合は 1)

Linux SysUpdate の亜種の新機能の 1 つに DNS トンネリングがあり、マルウェアの 1 つの Windows サンプルでのみ見られます。

SysUpdate は、「/etc/resolv.conf」ファイルから DNS 情報を取得して、DNS クエリの送受信に使用できるデフォルトのシステム DNS IP アドレスを取得します。それが失敗した場合、8.8.8.8 で Google の DNS サーバーを使用します。

このシステムの考え方は、特定の IP アドレス許可リストを超えるすべてのトラフィックをブロックするように構成されている可能性のあるファイアウォールまたはネットワーク セキュリティ ツールをバイパスすることです。

Trend Micro は、Linux バージョンの SysUpdate の開発に Asio ライブラリを選択したのは、そのマルチプラットフォームの移植性による可能性があると述べており、マルウェアの macOS バージョンがすぐに出回る可能性があると予測しています。