Nhóm nghiên cứu cho biết biến thể phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 7 năm 2022 và một số tải trọng tương tự đã được phát hiện vào cuối tháng 10 năm 2022 và cuộc điều tra đã được bắt đầu. Theo kết quả của cuộc điều tra, những điểm tương đồng với phần mềm độc hại cập nhật hệ thống đã được xác nhận.
Iron Tiger là nhóm APT Trung Quốc hoạt động từ năm 2013, trong những ngày đầu hoạt động nhóm này đã gây tranh cãi vì đánh cắp hàng terabyte dữ liệu mật nhắm vào nhân viên của các công ty công nghệ Mỹ.
Giống như phiên bản Windows được cập nhật hệ thống của Iron Tiger được phát hiện vào năm 2021, biến thể mới nhất cũng làm phức tạp logic tải để phá vỡ các giải pháp bảo mật. Nó cũng được viết bằng C++ sử dụng thư viện Asio và chức năng rất giống với phiên bản trước. Theo báo cáo, phần mềm độc hại cập nhật hệ thống có khả năng thực hiện các dịch vụ hệ thống, chụp ảnh màn hình, duyệt và hủy các quy trình, truy xuất thông tin ổ đĩa, thực thi lệnh, định vị, xóa, đổi tên, tải lên, tải xuống tệp cũng như duyệt các thư mục tệp của nạn nhân. Có một chức năng.
Nhóm nghiên cứu cho biết họ đã tìm thấy các tệp ELF được kết nối với một số máy chủ chỉ huy và kiểm soát trong quá trình điều tra cơ sở hạ tầng cập nhật hệ thống. Mẫu ELF này đã chia sẻ khóa mã hóa mạng chung với các phiên bản trước và có nhiều tính năng tương tự (ví dụ: xử lý tệp, v.v.).
Các biến thể mới hơn cũng có khả năng bổ sung để thực hiện giao tiếp chỉ huy và kiểm soát thông qua các yêu cầu DNS TXT. DNS không phải là một giao thức truyền thông, nhưng những kẻ tấn công đã lạm dụng giao thức DNS để gửi và nhận thông tin.
Con đường lây nhiễm ban đầu vẫn chưa được biết, nhưng người ta đã điều tra ra rằng một ứng dụng trò chuyện đã được sử dụng để thu hút và lừa nạn nhân tải xuống tải trọng lây nhiễm. Sau khi tải xuống thành công, phần mềm độc hại sẽ gửi thông tin đến máy chủ chỉ huy và kiểm soát, bao gồm GUID, tên máy chủ, tên người dùng, địa chỉ IP cục bộ và cổng được sử dụng để gửi yêu cầu, PID hiện tại, phiên bản kernel và cấu trúc máy cũng như đường dẫn tệp hiện tại.
Một công ty cờ bạc ở Philippines được đề cập là nạn nhân của chiến dịch phần mềm độc hại. Nhóm APT này được biết là nhắm mục tiêu vào ngành công nghiệp cờ bạc và Đông Nam Á.
Trong khi đó, Iron Tiger cũng nhắm mục tiêu vào hệ thống macOS và Linux vào năm 2022 thông qua một loạt phần mềm độc hại có tên rshell. Báo cáo của Trend Micro nhấn mạnh rằng các biến thể bổ sung có thể sẽ xuất hiện trong tương lai để nhắm mục tiêu vào các nền tảng và ứng dụng khác. Ông nói thêm: “Các công cụ được đề cập ở đây có thể được sử dụng lại trong các chiến dịch có thể nhắm mục tiêu đến các khu vực địa lý hoặc ngành khác nhau trong ngắn hạn hoặc dài hạn”.
###