قام أحد الفاعلين في مجال التهديد المعروف باسم Lucky Mouse بتطوير إصدار Linux من مجموعة أدوات البرامج الضارة تسمى SysUpdate لتوسيع قدرتها على استهداف الأجهزة التي تعمل بنظام التشغيل.
يعود أقدم إصدار من أداة التحديث إلى يوليو 2022. تحتوي البرامج الضارة على ميزات جديدة مصممة للتهرب من برامج الأمان ومقاومة الهندسة العكسية.
قالت شركة Trend Micro للأمن السيبراني إنها أصبحت على علم بمتغير Windows المكافئ في يونيو 2022، بعد حوالي شهر من بناء البنية التحتية للقيادة والتحكم (C2).
يتم تتبع Lucky Mouse أيضًا تحت الألقاب APT27 و Bronze Union و Emissary Panda و Iron Tiger، ومن المعروف أنه يستخدم العديد من البرامج الضارة مثل SysUpdate و HyperBro و PlugX و rshell المعروفة باسم Linux backdoor.
على مدار العامين الماضيين، تضمنت الحملات التي نظمتها الجهات الفاعلة في مجال التهديد، امتيازات لسلسلة التوريد لتطبيقات مشروعة، مثل Able Desktop و MiMi Chat، للوصول عن بُعد للأنظمة المصابة.
في أكتوبر 2022، قامت شركة Intrinsec بتفصيل هجوم على شركة فرنسية استغلت ثغرة ProxyLogon في Microsoft Exchange Server لتقديم HyperBro كجزء من عملية استمرت شهورًا لسرقة غيغابايت من البيانات.
تشمل أهداف العملية الأخيرة نشاطًا للمقامرة في الفلبين، وهي صناعة استهدفتها شركة Iron Tiger عدة مرات منذ عام 2019.
ناقل العدوى المستخدم في الهجوم غير معروف، ولكن هناك أدلة على استخدام مثبِّت يتنكر في شكل تطبيق مراسلة، مثل Udu، كشرك لتفعيل تسلسل الهجوم.
بالنسبة لإصدار Windows من SysUpdate، فإنه يتمتع بالقدرة على إدارة العمليات والتقاط لقطات الشاشة وتنفيذ عمليات الملفات وتنفيذ أوامر عشوائية. كما أنه قادر على الاتصال بخادم C2 عبر طلب DNS TXT، وهي تقنية تُعرف باسم نفق DNS.
يمثل هذا التطور أيضًا المرة الأولى التي يُرى فيها عامل تهديد يقوم بتسليح ثغرة أمنية جانبية في موقع تنفيذ Wazuh لنشر SysUpdate على أجهزة Windows.
تُعرف عينات Linux ELF المكتوبة بلغة C بنقل وظائف معالجة الملفات باستخدام مكتبة Asio، مما يشير إلى أن الخصوم يتطلعون إلى إضافة دعم عبر الأنظمة الأساسية إلى البرامج الضارة.
قال Trend Micro إنه بالنظر إلى أن rshell قادر بالفعل على العمل على Linux و macOS، فإنه لا يستبعد إمكانية أن يكون SysUpdate له نكهة macOS في المستقبل.
أداة أخرى بارزة هي كلمة مرور Chrome المخصصة ومختطف ملفات تعريف الارتباط، والتي لديها القدرة على جمع ملفات تعريف الارتباط وكلمات المرور المخزنة في متصفح الويب.
قال الباحث الأمني دانييل لونجي، إن التحقيق يؤكد أن Iron Tiger تقوم بانتظام بتحديث أدواتها لإضافة ميزات جديدة ومن المحتمل أن تسهل نقلها إلى منصات أخرى، مضيفًا أن هذا يؤكد اهتمام ممثل التهديد بصناعة الألعاب وجنوب شرق آسيا.