Un groupe chinois de cyberespionnage identifié sous le nom de Budworm a été observé ciblant une entreprise de télécommunications au Moyen-Orient et une entité gouvernementale en Asie en utilisant une nouvelle variante de sa porte dérobée personnalisée « SysUpdate ».

Le malware SysUpdate est un cheval de Troie d’accès à distance (RAT) associé à Budworm (alias APT27 ou Emissary Panda) depuis 2020, prenant en charge la gestion des services, des processus et des fichiers Windows, l’exécution de commandes, la récupération de données et la capture d’écran.

En mars 2023, Trend Micro a signalé une variante Linux de SysUpdate, largement distribuée dans la nature depuis octobre 2022.

La dernière variante de la porte dérobée SysUpdate a été repérée par L’équipe Threat Hunter de Symantecqui fait partie de Broadcom, lors de la dernière campagne qui a eu lieu en août 2023.

Symantec signale que la porte dérobée est déployée sur les systèmes victimes via le chargement latéral de DLL en exploitant l’exécutable légitime « INISafeWebSSO.exe ».

Le fichier DLL malveillant utilisé dans les attaques Budworm est identifié comme « inicore_v2.3.30.dll », implanté dans le répertoire de travail, il est donc lancé avant la version légitime en raison du détournement de l’ordre de recherche Windows.

En chargeant SysUpdate dans le contexte d’un processus de programme légitime, les attaquants peuvent échapper à la détection des outils de sécurité exécutés sur l’hôte compromis.

Parallèlement à SysUpdate, Symantec rapporte avoir vu plusieurs outils accessibles au public utilisés dans les dernières attaques de Budworm, comme AdFind, Curl, SecretsDump et PasswordDumper.

Ces outils aident les attaquants à effectuer diverses actions, notamment le dumping d’informations d’identification, le mappage du réseau, la propagation latérale sur un réseau compromis et le vol de données.

Le ciblage des entreprises de télécommunications est devenu une cible courante parmi les groupes de piratage parrainés par l’État et par l’APT.

Au cours du mois dernier, des chercheurs ont signalé que d’autres groupes de piratage avaient violé des sociétés de télécommunications pour installer des logiciels malveillants personnalisés nommés HTTPSnoop et LuaDream, les deux infections par logiciels malveillants fournissant un accès dérobé aux réseaux.

Activités passées contre la tordeuse des bourgeons

Budworm est actif depuis 2013, ciblant des entités de grande valeur dans les domaines du gouvernement, de la technologie, de la défense et d’autres secteurs et industries clés.

En 2020, le groupe malveillant a expérimenté l’utilisation abusive de l’outil Windows BitLocker pour chiffrer les serveurs de plusieurs sociétés de jeux et de jeux en ligne, susceptible de masquer leurs véritables intentions d’espionnage.

Début 2022, les services de renseignement allemands ont mis en garde contre les activités de Budworm, soulignant le risque d’attaques de la chaîne d’approvisionnement visant de précieux détenteurs de propriété intellectuelle dans le pays.

Plus tard cette année-là, le ministère belge des Affaires étrangères a annoncé que plusieurs ministères de la Défense et de l’Intérieur du pays avaient été ciblés par des pirates informatiques chinois.

En août 2022, SEKOIA a signalé que Budworm avait créé de faux sites ciblant les utilisateurs chinois et faisant la promotion d’une application de messagerie instantanée multiplateforme appelée « MiMi ».

Les fichiers d’installation de la fausse application infectée ciblent une nouvelle porte dérobée nommée « rshell », capable de voler des données sur les systèmes Linux et macOS.