Budworm olarak takip edilen Çinli bir siber casusluk hack grubunun, özel ‘SysUpdate’ arka kapısının yeni bir versiyonunu kullanarak Orta Doğu’daki bir telekomünikasyon firmasını ve Asya’daki bir hükümet kuruluşunu hedef aldığı gözlemlendi.
SysUpdate kötü amaçlı yazılımı, 2020’den bu yana Budworm (aka APT27 veya Emissary Panda) ile ilişkilendirilen ve Windows hizmetini, sürecini ve dosya yönetimini, komut yürütmeyi, veri alımını ve ekran görüntüsü yakalamayı destekleyen bir uzaktan erişim truva atıdır (RAT).
Mart 2023’te Trend Micro, SysUpdate’in Ekim 2022’den bu yana yaygın olarak dağıtılan bir Linux sürümü hakkında rapor verdi.
SysUpdate arka kapısının en yeni çeşidi, Ağustos 2023’te gerçekleştirilen son kampanyada Symantec’in Broadcom’un bir parçası olan Tehdit Avcısı ekibi tarafından tespit edildi.
Symantec, arka kapının, yasal ‘INISafeWebSSO.exe’ yürütülebilir dosyasından yararlanılarak DLL yan yükleme yoluyla mağdur sistemlere dağıtıldığını bildirdi.
Budworm saldırılarında kullanılan kötü amaçlı DLL dosyası, çalışma dizinine yerleştirilen ‘inicore_v2.3.30.dll’ olarak tanımlanıyor ve bu nedenle, Windows arama sırasının ele geçirilmesi nedeniyle meşru sürümden önce başlatılıyor.
Saldırganlar, SysUpdate’i meşru bir program süreci bağlamında yükleyerek, güvenliği ihlal edilmiş ana bilgisayarda çalışan güvenlik araçlarının tespitinden kurtulabilir.
Symantec, SysUpdate’in yanı sıra Budworm’un en son saldırılarında AdFind, Curl, SecretsDump ve PasswordDumper gibi halka açık çeşitli araçların kullanıldığını gördüğünü bildirdi.
Bu araçlar, saldırganların kimlik bilgisi dökümü, ağ haritalaması, güvenliği ihlal edilmiş bir ağ üzerinde yanal olarak yayılma ve veri çalma gibi çeşitli eylemleri gerçekleştirmesine yardımcı olur.
Telekomünikasyon şirketlerini hedeflemek, devlet destekli ve APT hack grupları arasında ortak bir hedef haline geldi.
Geçtiğimiz ay boyunca araştırmacılar, HTTPSnoop ve LuaDream adlı özel kötü amaçlı yazılımlar yüklemek için telekom şirketlerini ihlal eden diğer bilgisayar korsanlığı gruplarının her iki kötü amaçlı yazılım enfeksiyonunun da ağlara arka kapı erişimi sağladığını bildirdi.
Geçmiş Budworm aktiviteleri
Budworm 2013’ten bu yana aktif olarak hükümet, teknoloji, savunma ve diğer kilit sektör ve endüstrilerdeki yüksek değerli kuruluşları hedef alıyor.
2020 yılında tehdit grubu, büyük olasılıkla gerçek casusluk niyetlerini maskelemek amacıyla çeşitli çevrimiçi oyun ve kumar şirketlerinin sunucularını şifrelemek için Windows BitLocker aracını kötüye kullanmayı denedi.
2022’nin başlarında Alman istihbarat servisi Budworm’un faaliyetleri hakkında uyarıda bulunarak ülkedeki değerli fikri mülkiyet sahiplerini hedef alan tedarik zinciri saldırıları riskini vurguladı.
Aynı yılın sonlarında Belçika Dışişleri Bakanlığı, ülkenin birçok savunma ve içişleri bakanlığının Çinli hackerlar tarafından hedef alındığını duyurdu.
Ağustos 2022’de SEKOIA, Budworm’un Çinli kullanıcıları hedef alan ve “MiMi” adlı platformlar arası anlık mesajlaşma uygulamasını tanıtan sahte siteler kurduğunu bildirdi.
Sahte uygulamanın yükleyici dosyaları, Linux ve macOS sistemlerinden veri çalabilen ‘rshell’ adlı yeni bir arka kapıyı hedef alıyor.