Le groupe de piratage APT27, alias « Iron Tiger », a préparé une nouvelle version Linux de son malware d’accès à distance personnalisé SysUpdate, permettant au groupe de cyberespionnage chinois de cibler davantage de services utilisés dans l’entreprise.

Selon un nouveau rapport de Trend Micro, les pirates ont testé la version Linux pour la première fois en juillet 2022. Cependant, ce n’est qu’en octobre 2022 que plusieurs charges utiles ont commencé à circuler dans la nature.

La nouvelle variante de malware est écrite en C++ à l’aide de la bibliothèque Asio, et sa fonctionnalité est très similaire à la version Windows de SysUpdate d’Iron Tiger.

L’intérêt de l’acteur menaçant pour étendre la portée du ciblage aux systèmes au-delà de Windows est devenu évident l’été dernier lorsque SEKOIA et Trend Micro ont signalé avoir vu APT27 ciblant les systèmes Linux et macOS en utilisant une nouvelle porte dérobée nommée « rshell ».

La dernière campagne d’APT27

La campagne SysUpdate observée et analysée par Trend Micro a déployé des échantillons Windows et Linux sur des cibles valides.

L’une des victimes de cette campagne était une société de jeu aux Philippines, dont l’attaque a utilisé un serveur de commande et de contrôle enregistré avec un domaine similaire à la marque de la victime.

Le vecteur d’infection est inconnu, mais les analystes de Trend Micro émettent l’hypothèse que les applications de chat ont été utilisées comme leurres pour inciter les employés à télécharger les charges utiles d’infection initiales.

Un élément qui a évolué par rapport aux campagnes précédentes reposant sur SysUpdate est le processus de chargement, qui utilise désormais un exécutable « Microsoft Resource Compiler » légitime et signé numériquement (rc.exe) pour effectuer le chargement latéral de DLL avec rc.dll pour charger le shellcode .

Le shellcode charge la première étape de SysUpdate en mémoire, il est donc difficile à détecter pour les AV. Ensuite, il déplace les fichiers requis vers un dossier codé en dur et établit la persistance avec les modifications du Registre ou en créant un service, en fonction des autorisations de processus.

La deuxième étape se lancera après le prochain redémarrage du système pour décompresser et charger la charge utile SysUpdate principale.

Chaîne d’infection SysUpdate

SysUpdate est un outil d’accès à distance riche en fonctionnalités permettant à un acteur malveillant d’effectuer une variété de comportements malveillants comme indiqué ci-dessous :

  • Gestionnaire de services (répertorie, démarre, arrête et supprime des services)
  • Capture d’écran
  • Gestionnaire de processus (parcourt et termine les processus)
  • Récupération d’informations sur le lecteur
  • Gestionnaire de fichiers (recherche, supprime, renomme, télécharge, télécharge un fichier et parcourt un répertoire)
  • Exécution de la commande

Trend Micro commente qu’Iron Tiger a utilisé un exécutable signé Wazuh lors des étapes de chargement latéral ultérieures pour se fondre dans l’environnement de la victime, car l’organisation cible utilisait la plate-forme Wazuh légitime.

Fichiers utilisés dans la dernière campagne APT27

Nouvelle version Linux de SysUpdate
La variante Linux de SysUpdate est un exécutable ELF et partage des clés de cryptage réseau et des fonctions de gestion de fichiers communes avec son homologue Windows.

Le binaire prend en charge cinq paramètres qui déterminent ce que le malware doit faire ensuite : définir la persistance, démoniser le processus, définir un GUID (Globally Unique Identifier) pour le système infecté, etc.

Paramètres pouvant être transmis au binaire SysUpdate

Le logiciel malveillant établit la persistance en copiant un script dans le répertoire « /usr/lib/systemd/system/ », une action qui nécessite des privilèges d’utilisateur root.

A son lancement, il envoie les informations suivantes au serveur C2 :

  • GUID (choisi au hasard si son paramètre n’a pas été utilisé précédemment)
  • Nom d’hôte
  • Nom d’utilisateur
  • Adresse IP locale et port utilisé pour envoyer la requête
  • PID actuel
  • Version du noyau et architecture de la machine
  • Chemin du fichier actuel
  • Booléen (0 s’il a été lancé avec exactement un paramètre, 1 sinon)

Une nouvelle fonctionnalité de la variante Linux SysUpdate est le tunneling DNS, visible uniquement sur un échantillon Windows du logiciel malveillant.

SysUpdate obtient les informations DNS du fichier « /etc/resolv.conf » pour récupérer l’adresse IP DNS du système par défaut qui peut être utilisée pour envoyer et recevoir des requêtes DNS. Si cela échoue, il utilise le serveur DNS de Google à 8.8.8.8.

L’idée de ce système est de contourner les pare-feu ou les outils de sécurité réseau qui pourraient être configurés pour bloquer tout le trafic au-delà d’une liste d’adresses IP spécifique.

Trend Micro indique que le choix de la bibliothèque Asio pour développer la version Linux de SysUpdate pourrait être dû à sa portabilité multiplateforme et prédit qu’une version macOS du malware pourrait bientôt apparaître dans la nature.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *