Három új kártékony szoftvercsalád
Érdemes kiemelni, hogy a támadók három, eddig nem ismert rosszindulatú programmal dolgoznak: a TernDoor egy Windows-háttérajtó, a PeerTime Linux alatt működik, a BruteEntry pedig jelszótörő szkennerként segíti a betörést és a proxy-infrastruktúra felépítését. A TernDoor a wsprint.exe segítségével tölti be magát egy legitim DLL-fájlból (BugSplatRc64.dll), és itt történik a végső kártékony kód memóriaalapú futtatása is, amit a msiexec.exe folyamatba fecskendeznek.
Továbbá a beépített WSPrint.sys Windows-illesztőprogram lehetővé teszi folyamatok leállítását, felfüggesztését vagy folytatását, miközben a perzisztenciát ütemezett feladatokkal és a rendszerleíró adatbázis módosításaival biztosítják. Ez a kártevő képes távoli parancsvégrehajtásra, folyamatok indítására, fájlok olvasására és írására, a rendszer monitorozására, sőt öneltávolításra is.
Linuxon is támadnak, BitTorrenttel trükköznek
A PeerTime többféle architektúrát támad (ARM, AArch64, PPC, MIPS), ami azt mutatja, hogy alapvetően beágyazott hálózati eszközöket vettek célba a távközlési környezetben. Két változatát figyelték meg, egy C/C++- és egy Rust-alapút, az egyik binárisban kínai hibakeresési sztringeket is azonosítottak. A PeerTime működése során a BitTorrent protokollt használja a parancs- és vezérléshez, és BusyBox segítségével másol fájlokat a célgépre.
Kibővített támadási infrastruktúra
A BruteEntry célja, hogy a megfertőzött gépekből szkennelő csomópontokat építsen (ORBs), amelyek SSH-, PostgreSQL- és Tomcat-szolgáltatások ellen indítanak brute-force támadásokat. A bejelentkezési kísérletek eredményeit visszaküldik az irányítószerverre állapottal, megjegyzésekkel együtt.
A biztonsági szakértők részletes leírást és az észleléshez szükséges információkat is nyilvánosságra hoztak, hogy a távközlési szektor védekezhessen a fenyegetéssel szemben.
