Группировка постоянных угроз (APT) Budworm продолжает активно развивать свой инструментарий. Совсем недавно команда Threat Hunter Team компании Symantec, входящей в состав Broadcom, обнаружила Budworm, использующую обновленную версию одного из своих ключевых инструментов для атак на ближневосточную телекоммуникационную организацию и правительство одной из стран Азии.
Обе атаки произошли в августе 2023 года. Budworm (он же LuckyMouse, Emissary Panda, APT27) развернул ранее невиданный вариант своего бэкдора SysUpdate (SysUpdate DLL inicore_v2.3.30.dll). SysUpdate используется исключительно Budworm.
Помимо собственных вредоносных программ, Budworm также использовал в этих атаках различные "живые" и общедоступные инструменты. По всей видимости, деятельность группы была пресечена на ранних этапах атаки, поскольку единственной вредоносной активностью, наблюдаемой на зараженных машинах, является сбор учетных данных.
Indicators of Compromise
SHA256
- 551397b680da0573a85423fbb0bd10dac017f061a73f2b8ebc11084c1b364466
- c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37
- c4f7ec0c03bcacaaa8864b715eb617d5a86b5b3ca6ee1e69ac766773c4eb00e6
- df571c233c3c10462f4d88469bababe4c57c21a52cca80f2b1e1af848a2b4d23
- f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e