El actor de amenazas conocido como Lucky Mouse, ha desarrollado una versión para Linux de una herramienta de malware llamada SysUpdate, expandiendo su capacidad para atacar dispositivos que ejecutan este sistema operativo.
La versión más antigua del artefacto actualizado data de julio de 2022, y el malware incorporaba nuevas características diseñadas para evadir el software de seguridad y resistir la ingeniería inversa.
La compañía de ciberseguridad Trend Micro dijo que observó la variante equivalente de Windows en junio de 2022, casi un mes después de que se estableciera la infraestructura de comando y control (C2).
Lucky Mouse también se rastrea bajo los apodos APT27, Bronze Union, Emissary Panda y Iron Tiger, y se sabe que utiliza una variedad de malware como SysUpdate, HyperBro, PlugX y una puerta trasera de Linux llamada rshell.
En los últimos dos años, las campañas orquestadas por el grupo de amenazas han adoptado compromisos en la cadena de suministro de aplicaciones legítimas como Able Desktop y MiMi Chat para obtener acceso remoto a sistemas comprometidos.
En octubre de 2022, Intrinsec detalló un ataque a una empresa francesa que utilizó vulnerabilidades de ProxyLogon en Microsoft Exchange Server para entregar HyperBro como parte de una operación de meses que exfiltró “gigabytes de datos”.
Los objetivos de la última campaña incluyen una compañía de juegos de azar en Filipinas, un sector que ha sido atacado repetidamente por Iron Tiger desde 2019.
El vector de infección exacto utilizado en el ataque no está claro, pero las señales apuntan al uso de instaladores disfrazados de aplicaciones de mensajería como Youdu, como señuelos para activar la secuencia de ataque.
En cuanto a la versión de Windows de SysUpdate, viene con características para administrar procesos, tomar capturas de pantalla, llevar a cabo operaciones de archivos y ejecutar comandos arbitrarios. También es capaz de comunicarse con servidores C2 a través de solicitudes TXT de DNS, una técnica conocida como túnel DNS.
El desarrollo también marca la primera vez que se detecta un actor de amenazas armando una vulnerabilidad de carga lateral en un ejecutable firmado por Wazuh para implementar SysUpdate en máquinas con Windows.
Los ejemplos ELF de Linux, escritos en C ++, son notables por usar la biblioteca de Asio para portar las funciones de manejo de archivos, lo que indica que el adversario está buscando agregar soporte multiplataforma para el malware.
Dado que rshell ya es capaz de ejecutarse en Linux y macOS, no se puede descartar la posibilidad de que SysUpdate pueda tener un sabor de macOS en el futuro, dijo Trend Micro.
Otra herramienta destacable es un capturador personalizado de contraseñas y cookies de Chrome que viene con funciones para recopilar cookies y contraseñas almacenadas en el navegador web.