Группа Iron Tiger разработала Linux-версию вредоноса SysUpdate

Екатерина Быстрова 02 Марта 2023 - 09:24

...

Киберпреступная группировка APT27, известная под именем Iron Tiger, разработала Linux-версию кастомного вредоноса SysUpdate. Теперь группа, чьи корни находятся якобы в Китае, способна атаковать больше корпоративных сервисов.

Согласно отчёту компании Trend Micro, злоумышленники начали тестировать Linux-версию зловреда в июле 2022 года. Только в октябре ряд пейлоадов попал в «дикую природу». Новый образец трояна написан на C++ с использованием библиотеки Asio.

Функциональность семплов очень близка к тому, что демонстрирует Windows-версия SysUpdate. Не стоит также забывать, что APT27 прошлым летом уже проводила атаки на системы Linux и macOS с помощью бэкдора rshell.

В новых кампаниях по распространению SysUpdate, на которые обратили внимание специалисты Trend Micro, атакующие разворачивали не только Linux-, но и Windows-версию трояна. Точный вектор неизвестен, однако эксперты предполагают, что злоумышленники используют мессенджеры для введения жертв в заблуждение.

SysUpdate способен осуществлять следующие действия в заражённой системе:

Запускать, останавливать и удалять службы;
Снимать скриншоты;
Просматривать и завершать процессы;
Находить, удалять, переименовывать, загружать и скачивать файлы;
Запускать команды.

Linux-версия SysUpdate представляет собой исполняемый файл в формате ELF и использует те же ключи сетевого шифрования, что и его Windows-собрат. Бинарник поддерживает пять параметров, определяющих, что вредонос будет делать следующим шагом: настраивать GUID (Globally Unique Identifier), укрепляться в системе и т. п.

Троян копирует скрипт в директорию /usr/lib/systemd/system/, на что требуются права root. Linux-вариант также использует DNS-туннелирование, соответствующую информацию он берёт из /etc/resolv.conf.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 24 Апреля 2024 - 21:35

Корпорации ГК «Солар»

Солар показала годовой рост в два раза выше рынка

ГК «Солар» огласила основные финансовые показатели на 31 декабря 2023 года. Выручка возросла на 36% до 17,3 млрд руб., OIBDA — на 46% до 5,6 млрд рублей.

Прирост совокупной выручки по продуктам ИБ составил 50%, по сервисам — 46%. Клиентская аудитория увеличилась до 1000 компаний.

Вместе с тем объемы российского ИБ-рынка сейчас возрастают на 15% в год. На его развитие большое влияние оказывает рост спроса на СЗИ в условиях интенсификации и усложнения кибератак, а также курс страны на импортозамещение.

Так, в прошлом году, по оценке экспертов, число киберинцидентов на территории России возросло на 64%. На 21% увеличилось количество фишинговых сайтов, с DDoS-атаками столкнулись на 40% больше компаний, чем в 2022 году.

Средняя мощность DDoS не превышала 1 Гбит/с, однако такие атаки способны причинить большой ущерб: большинство коммерческих компаний используют каналы шириной до 100 Мбит/с.

Продуктовая стратегия «Солара» нацелена на создание решений для всех сегментов ИБ-рынка. Сейчас в разработке находится 12 новых продуктов.

В следующем месяце ожидается запуск ПАК NGFW, который к сентябрю обещают разогнать до 100 Гбит/с. (Сейчас быстродействие Solar NGFW составляет 20 Гбит/с в режиме FW и 4 Гбит/с в режиме NGFW.)

В этом году ИБ-компания также планирует запустить EDR, NTA, доступное для малого / среднего бизнеса облачное решение; опробовать сервисную модель предоставления услуг и расширить географию поставок своих решений, в том числе на Ближний Восток и в Юго-Восточную Азию.

При внушительном объеме инвестиций в 22 млрд руб. к 2027 году больше половины OIBDA «Солара», по ожиданиям, будут формировать портфели R&D и M&A.