2023 年 8 月活动中使用了之前未见过的 SysUpdate 版本。
Budworm 高级持续威胁 (APT) 小组继续积极开发其工具集。最近,博通旗下赛门铁克的威胁追踪团队 发现Budworm 使用其关键工具之一的更新版本来针对中东电信组织和亚洲政府。
两次攻击都发生在 2023 年 8 月。Budworm(又名 LuckyMouse、Emissary Panda、APT27)部署了其 SysUpdate 后门的前所未见的变体(SysUpdate DLL inicore_v2.3.30.dll)。SysUpdate 专门由 Budworm 使用。
除了其定制恶意软件外,Budworm 还在这些攻击中使用了各种野外和公开可用的工具。看来该组织的活动可能已在攻击链的早期停止,因为受感染计算机上看到的唯一恶意活动是凭据收集。
使用的工具
Budworm 使用合法的 INISafeWebSSO 应用程序通过 DLL 旁加载有效负载,在受害者网络上执行 SysUpdate。该组织已使用该技术 一段时间,有关 INISafeWebSSO 被利用的报告可以追溯到 2018 年。DLL 侧载攻击使用 Windows 中的 DLL 搜索顺序机制来植入并调用执行恶意负载的合法应用程序。它可以帮助攻击者逃避检测。
SysUpdate 是一个功能丰富的后门,具有多种功能,包括:
1、列出、启动、停止和删除服务
2、截图
3、浏览并终止进程
4、驱动器信息检索
5、文件管理(查找、删除、重命名、上传、下载文件、浏览目录)
6、命令执行
趋势科技于 2023 年 3 月报道称,Budworm 开发了 Linux 版本的 SysUpdate,其功能与 Windows 版本类似。Budworm 至少从 2020 年起就开始使用 SysUpdate,攻击者似乎在不断开发该工具以提高其功能并避免检测。
除了 SysUpdate 之外,攻击者还使用许多合法或公开可用的工具来映射网络并转储凭据。攻击者在此活动中使用的工具包括:
1、AdFind:一种 公开可用的工具,用于查询 Active Directory。它具有合法用途,但被攻击者广泛用于帮助映射网络。
2、Curl:一种开源 命令行工具,用于使用各种网络协议传输数据。
3、SecretsDump:一种 公开可用的工具,可以执行各种技术从远程计算机转储机密,而无需执行任何代理。技术包括从注册表读取 SAM 和 LSA 机密、转储 NTLM 哈希、纯文本凭据和 Kerberos 密钥,以及转储 NTDS.dit Active Directory 数据库。
4、PasswordDumper:密码转储工具。
Budworm背景
Budworm 是一个长期运行的 APT 组织,据信至少从 2013 年起就一直活跃。攻击者以高价值受害者为目标而闻名,通常关注政府、技术和国防部门的组织。Budworm 的目标受害者遍布东南亚和中东等许多国家,其中包括美国 赛门铁克的威胁猎手团队于 2022 年 10 月发表的一篇博客,详细介绍了如何在美国州立法机关的网络上发现 Budworm 活动。在那次攻击活动中,攻击者还针对一个中东国家的政府、一家跨国电子制造商和东南亚的一家医院。攻击者还在该活动中利用 DLL 旁加载来加载他们的 HyperBro 恶意软件。
这次活动的受害者——亚洲的一个政府和中东的一家电信公司——确实与我们经常看到的 Budworm 所针对的受害者类型一致。针对电信公司和政府的攻击还表明该活动背后的动机是收集情报,这通常是推动 Budworm 活动的动机。
Budworm 继续使用已知的恶意软件 (SysUpdate),以及已知所青睐的技术,例如使用以前用于此目的的应用程序进行 DLL 侧载,这表明该组织并不太关心与此活动相关的问题。如果被发现的话。
使用以前未见过的 SysUpdate 工具版本也表明该组织正在继续积极开发其工具集。这一活动最近发生在 2023 年 8 月,这一事实表明该组织目前很活跃,那些可能对 Budworm 感兴趣的组织应该了解这一活动和该组织当前的工具集。
IOCs
SHA256 文件哈希值
c501203ff3335fbfc258b2729a72e82638719f60f7e6361fc1ca3c8560365a0e — 合法的 INISafeWebSSO 应用程序
c4f7ec0c03bcacaaa8864b715eb617d5a86b5b3ca6ee1e69ac766773c4eb00e6 — SysUpdate 后门
551397b680da0573a85423fbb0bd10dac017f061a73f2b8ebc11084c1b364466 — 密码转储程序
df571c233c3c10462f4d88469bababe4c57c21a52cca80f2b1e1af848a2b4d23 — 黑客工具
c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37 — SecretsDump
f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e — AdFind
ee9dfcea61282b4c662085418c7ad63a0cbbeb3a057b6c9f794bb32455c3a79e — Curl转载来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/budworm-tool-update-telecoms-govt
图片来源网络侵权可联系删除
