Budworm olarak izlenen bir Çin siber-ihale hackleme grubu, Orta Doğu'da bir telekomünikasyon firmasını hedefleyen ve Asya'daki bir hükümet kuruluşunu özel 'Sysupdate' arka kapısının yeni bir varyantını kullanarak gözlendi.
Sysupdate kötü amaçlı yazılım, 2020'den beri Budworm (AKA APT27 veya Emissary Panda) ile ilişkili bir uzaktan erişim Trojan'dır (sıçan), Windows hizmeti, süreç ve dosya yönetimi, komut yürütme, veri alımı ve ekran görüntüsü yakalama.
Mart 2023'te Trend Micro, Ekim 2022'den bu yana vahşi doğada yaygın olarak dağıtılan bir Linux Sysupdate varyantını bildirdi.
Sysupdate Backdoor'un en yeni varyantı, Ağustos 2023'te gerçekleşen son kampanyada Symantec'in Broadcom'un bir parçası olan tehdit avcı ekibi tarafından tespit edildi.
Symantec, arka kapının, 'inisafewebsso.exe' yürütülebilir meşrudan yararlanan DLL kenar yükü ile kurban sistemlerine konuşlandırıldığını bildirdi.
Budworm saldırılarında kullanılan kötü amaçlı DLL dosyası, çalışma dizine dikilen 'inicore_v2.3.30.dll' olarak tanımlanır, bu nedenle Windows arama sırası kaçırma nedeniyle meşru sürümden önce başlatılır.
Meşru bir program süreci bağlamında Sysupdate'i yükleyerek, saldırganlar tehlikeye atılan ana bilgisayarda çalışan güvenlik araçlarından algılayabilir.
Sysupdate ile birlikte Symantec, Budworm'un Adfind, Curl, SecretsDump ve PasswordDumper gibi son saldırılarında kullanılan halka açık birkaç aracı gördüğünü bildirdi.
Bu araçlar, saldırganların kimlik bilgisi boşaltma, ağ eşleme, uzlaşmış bir ağa yanal olarak yayılma ve veri çalma gibi çeşitli eylemler gerçekleştirmelerine yardımcı olur.
Telekomünikasyon şirketlerini hedeflemek, devlet destekli ve uygun hack grupları arasında ortak bir hedef haline gelmiştir.
Geçtiğimiz ay, araştırmacılar telekom şirketlerini ihlal eden diğer hack gruplarında HTTPSNoop ve Luadream adlı özel kötü amaçlı yazılım yüklemelerini bildirdiler ve her iki kötü amaçlı yazılım enfeksiyonu ağlara arka kapı erişimini sağladı.
Budworm 2013 yılından bu yana aktiftir ve hükümet, teknoloji, savunma ve diğer kilit sektörler ve endüstrilerdeki yüksek değerli varlıkları hedeflemektedir.
2020'de tehdit grubu, gerçek casusluk niyetlerini maskeleyecek birkaç çevrimiçi oyun ve kumar şirketinin sunucularını şifrelemek için Windows Bitlocker aracını kötüye kullanmayı denedi.
2022'nin başlarında, Alman İstihbarat Servisi Budworm'un faaliyetleri hakkında uyardı ve ülkedeki değerli fikri mülkiyet sahiplerini hedefleyen tedarik zinciri saldırıları riskini vurguladı.
O yılın ilerleyen saatlerinde Belçika Dışişleri Bakanlığı, ülkenin savunma ve içişleri bakanlıklarının birçoğunun Çinli hackerlar tarafından hedef alındığını açıkladı.
Ağustos 2022'de Sekoia, Budworm'un 'Mimi' adlı platformlar arası bir anlık messenger uygulamasını tanıtan Çinli kullanıcıları hedefleyen sahte siteler kurduğunu bildirdi.
Linux ve macOS sistemlerinden veri çalabilen 'RShell' adlı yeni bir arka kapı ile sahte uygulama enfekte hedefler için yükleyici dosyaları.
‘Sandman’ hackerlar yeni luadream kötü amaçlı yazılımlarla arka kapı telcos
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
Siber casusluk saldırılarında kullanılan yeni sprysocks linux kötü amaçlı yazılım
Lazarus Hackers, yeni Lightlesscan kötü amaçlı yazılımlarla havacılık ve uzay firmasını ihlal ediyor
ABD ve Japonya, Çinli hackerların geri kapı sırtını Cisco yönlendiricileri uyarıyor
Kaynak: Bleeping Computer