SysUpdate

O SysUpdate RAT é uma das muitas ferramentas e malwares que são usadas como parte de ataques envolvendo o Bronze Union APT (Ameaça Persistente Avançada), um grupo criminoso baseado na China que tem sido responsável por inúmeros ataques de alto nível. Os RATs, ou Trojans de Acesso Remoto, são ameaças de malware projetadas para permitir que um invasor obtenha controle remoto sobre um dispositivo infectado. O APT do Bronze Union usa uma ampla variedade de ferramentas de hackers e malware publicamente disponíveis, mas também algumas que eles mesmos criam. O SysUpdate RAT é um Trojan personalizado usado por esse APT desde pelo menos 2016 para realizar seus ataques.

Como o SysUpdate foi Usado para Executar Ataques

Os criminosos responsáveis pelo RAT da SysUpdate usaram essa ameaça em vários ataques, envolvendo duas campanhas confirmadas contra alvos políticos e vítimas de alto perfil na Mongólia e na Turquia. O objetivo principal do SysUpdate RAT é permitir que os criminosos entreguem outras ameaças ao computador da vítima, e isso faz parte de um ataque em múltiplos estágios no dispositivo alvo. Os invasores usarão o SysUpdate RAT para detectar as configurações de segurança no dispositivo infectado e permitir a instalação de outro malware. Uma vez que o RAT SysUpdate parece ser usado para este propósito pelo APT Bronze Union principalmente, ele não parece ter muitas características além de permitir que isso ocorra.

Como os Ataques do SysUpdate são Executados

Os RATs como o SysUpdate podem ser entregues às vítimas por várias técnicas. O RAT SysUpdate foi entregue às vítimas principalmente através de anexos de e-mail de spam corrompidos. Eles assumiram a forma de arquivos RTF comprometidos que permitem que um código corrompido seja executado no computador infectado. É provável que os criminosos responsáveis pelo RAT do SysUpdate possam ter obtido credenciais de login para alguns de seus alvos e instalado o RAT do SysUpdate manualmente, em vez de depender de engenharia social ou outro malware. A principal razão pela qual criminosos usam o SysUpdate RAT como parte de múltiplos estágios, com cargas primárias e secundárias de malware, é que eles permitem que os criminosos contornem algumas medidas de segurança e software, tornando mais difícil para os pesquisadores de segurança do PC estudar o SysUpdate RAT. e outro malware usado no ataque em detalhes. Também é possível que o SysUpdate RAT possa ser usado para realizar outros ataques, dando-lhe mais flexibilidade, permitindo que os criminosos instalem malware projetado para coletar dados, ransomware ou uma variedade de outras ameaças no computador da vítima.

Como os Criminosos se Comunicam com o SysUpdate

O RAT SysUpdate parece ter um agente codificado que permite que ele se comunique com seu servidor de Comando e Controle. O RAT SysUpdate usa o HTTP padrão para se conectar ao seu servidor de Comando e Controle e não parece salvar arquivos no disco do computador infectado. O RAT do SysUpdate se comunica com seu servidor de Comando e Controle a cada três minutos. O SysUpdate RAT faz isso para receber instruções dos invasores e retransmitir informações sobre o dispositivo infectado. O RAT do SysUpdate possui os seguintes recursos:

• Os Criminosos podem se comunicar com o SysUpdate RAT para permitir que ele gerencie arquivos e processos no dispositivo infectado.
• O SysUpdate RAT também pode ser instruído pelos invasores para iniciar um shell de comando e executar vários comandos do shell no computador infectado, além de interagir com serviços no dispositivo.
• Embora o objetivo principal do SysUpdate RAT não pareça ser a espionagem, o RAT do SysUpdate pode tirar screenshots do dispositivo infectado.
• A principal finalidade do SysUpdate RAT, no entanto, é geralmente entregar uma carga secundária, e o SysUpdate RAT pode carregar e baixar outros malwares no dispositivo infectado.