Grupo de espionagem ligado à China agora pode atacar sistemas Linux
Por Felipe Demartini • Editado por Claudio Yuge |
Após meses de testes, o grupo cibercriminoso Iron Tiger já é capaz de atacar sistemas Linux em suas operações de espionagem. Uma variante do malware de acesso remoto usado pela quadrilha, que tem associações ao governo da China, está circulando desde o final do ano passado, com alvos já detectados na Ásia.
- Ransomware contra servidores Linux aumentou 75% em 2022
- Funcionários não sabiam que trabalhavam em escritório cibercriminoso
Uma empresa de apostas nas Filipinas foi o ponto de partida para os pesquisadores da Trend Micro, que analisaram a variante Linux da campanha de ataques denominada SysUpdate. Como o nome já indica, a praga parece ser disseminada por meio de operações de phishing, com funcionários das organizações sendo ludibriados por e-mails ou mensagens de texto a baixarem falsas atualizações para seus computadores, que acabam implementando o malware.
Enquanto a contaminação no Windows acontece a partir de DLLs manipuladas e alterações no registro que garantem permanência, o SysUpdate cria diretórios no Linux e executa scripts. O comprometimento só funciona com usuários que tenham acesso à raiz do sistema operacional, enquanto as comunicações com o servidor de comando e controle acontecem de forma protegida por tunelamento de DNS, simulando comunicações legítimas e evitando o bloqueio por firewalls.
Seja qual for o sistema operacional, após a implantação, o vírus começa a se comunicar com a infraestrutura cibercriminosa para receber comandos e enviar informações. Processos podem ser iniciados ou fechados pela praga, que também é capaz de copiar, criar ou apagar arquivos, bem como listar operações que acontecem no dispositivo, tudo como forma de detectar eventuais ações defensivas ou mudanças que possam gerar detecção.
Enquanto isso, são realizadas tarefas como o roubo de dados ou a captura de telas, que podem expor informações importantes para as operações de espionagem do Iron Tiger. Além disso, o malware também pode executar novos comandos no sistema, o que pode levar a novos ataques contra as organizações infectadas ou à venda do acesso a terceiros interessados em realizar tais ofensivas enquanto ajudam a monetizar a campanha.
A Trend Micro também chama a atenção para a programação do malware, baseada em C++ usando a biblioteca Asio, o que permitiu uma conversão de muitos aspectos da versão Windows da praga. Para os especialistas, há um interesse dos bandidos pela portabilidade, o que pode indicar que uma edição macOS do SysUpdate também pode aparecer em breve, focada em ataques direcionados.
A análise técnica feita pela empresa de cibersegurança foi publicada junto a indicadores de comprometimento. Enquanto a campanha parece seguir em andamento, a recomendação é de atenção quanto a tentativas de intrusão via phishing, com trabalhadores devendo ficar de olho em links recebidos por e-mail ou mensagem direta, assim como falsas propostas ou contatos comerciais que possam conter anexos maliciosos.
Fonte: Trend Micro