APT 27, Linux Sistemlerini Hedef Almak İçin Yazılımını Değiştirdi!
APT27, diğer adıyla Iron Tiger veya Bronze Union, kötü amaçlı araçlarını sürekli güncelliyor. Son zamanlarda araştırmacılar, özel aracın sysupdate’in bir Linux varyantını belirlediler. Bu kötü amaçlı yazılımın 2019’dan beri kullanımda olduğu ve Nisan 2021’de bu kötü amaçlı yazılımın geliştirildiği tespit edildi.
Sysupdate’in Linux varyantı
Trend Micro’ya göre rakip bu varyantı Temmuz 2022’de tamamladı ve test etti. Ancak Ekim 2022’den önceki saldırılarda kullanılmadı.
Yeni varyant, işlevsel olarak Windows varyantına benzer ve yalnızca iki önemli farklılığa sahiptir.
Kod yapısı artık ASIO C ++ eşzamansız kitaplığını kullanacak şekilde değiştirildi ve C ++ çalışma zamanı türü bilgisi (RTTI) sınıfları kaldırıldı.
Bu değişikliklerin her ikisi de tersine mühendisliği biraz karmaşık hale getirir ve analizini zorlaştırmaya yönelik olası girişimler olarak kabul edilebilir.
Kampanya nasıl çalışır?
Saldırgan, Filipinler merkezli bir kumar şirketi de dahil olmak üzere aynı hedeflere saldırmak için hem Windows hem de Linux varyantlarını kullandı.
Uzmanlar, APT27’NİN çalışanlara kötü amaçlı bağlantılar göndermek için Youdu sohbet uygulamasını (muhtemelen saldırganlar tarafından konuştuğum gibi yeniden markalandı) kullandığını ve onları kötü amaçlı yazılımları indirmeye teşvik ettiğini ortaya koyuyor. Bu, grubun geçmiş saldırılardaki Ttp’leriyle tutarlıdır.
Ayrıca, bu kampanya orijinal bir Microsoft Kaynak Derleyicisi imzalı dosya kullanır. DLL yan yüklemesine karşı savunmasız olan bu dosya, rc[ adlı bir dosyayı yükler.] dll. Saldırganlar, ilk aşamadaki yükü belleğe yüklemek için bunu kötüye kullanır.
İşlem iznine bağlı olarak, zamanlanmış görevler oluşturur veya kalıcılık oluşturmak için kayıt defteri girdilerini günceller.
Bir sonraki sistem yeniden başlatıldıktan sonra, ikinci aşama başlatılır ve son sistem güncelleme yükü virüslü makineye yüklenir. Önce ki yıllara göre APT-27 yazılımını değiştirdi daha da tespit edilmesi zorlaştı.
Önce ki siber güvenlik haberi ilginizi çekebilir;
İlgili Haber: Lastpass Güncelleme Yapılmaması Nedeniyle Hacklendi !
Bitiş notları
APT27 tarafından sysupdate’in Linux varyantı, bilgisayar korsanlarının saldırı yüzeylerini genişletmek için umutsuz bir girişimidir. Bu nedenle, kuruluşların, kötü amaçlı yazılım önleme ve kimlik avı önleme çözümleriyle e-postalar ve anlık mesajlaşma dahil tüm giriş noktalarının güvenliği artırmaları önerilir. Ayrıca, kötü amaçlı araçlara karşı dikkatli olmalı ve daha iyi tespit için sağlanan ıoc’lerden ve YARA kurallarından yararlanmalıdırlar.
Haber Kaynağı: Cyware Social