Хакеры GhostEmperor используют новый руткит для Windows 10 в атаках

29
Microsoft исправляет проблему аутентификации Windows 10, влияющую на удаленный рабочий стол

Кибер-шпионы, говорящие на китайском языке, уже более года нацелены на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии, используя бэкдор-системы под управлением последних версий Windows 10 с недавно обнаруженным руткитом.

Хакерская группа, которую исследователи «Лаборатории Касперского» назвали GhostEmperor , использует руткит Demodex , который действует как бэкдор для сохранения устойчивости на скомпрометированных серверах.

Основная цель этого руткита — скрыть вредоносные артефакты (включая файлы, ключи реестра и сетевой трафик), чтобы избежать обнаружения как судебными следователями, так и продуктами безопасности.

«Чтобы обойти механизм принудительного применения подписи драйверов Windows, GhostEmperor использует схему загрузки, включающую компонент проекта с открытым исходным кодом под названием« Cheat Engine »», — сказал Касперский в июле, когда он опубликовал первые подробности об этом злоумышленнике.

«Этот расширенный набор инструментов уникален, и исследователи« Лаборатории Касперского »не видят сходства с уже известными злоумышленниками. Эксперты« Лаборатории Касперского »предполагают, что этот набор инструментов используется как минимум с июля 2020 года».

Чтобы взломать серверы своих жертв, злоумышленники использовали известные уязвимости в серверном программном обеспечении с выходом в Интернет, включая Apache, Window IIS, Oracle и Microsoft Exchange (последний появился через два дня после публичного раскрытия ошибок ProxyLogon ).

GhostEmperor также использует «сложную многоступенчатую структуру вредоносных программ», которая позволяет злоумышленникам с возможностью удаленного управления взломанными устройствами для обеспечения удаленного управления атакованными серверами.

Квалифицированная хакерская группа с акцентом на громкие цели

Операторы GhostEmperor показали, что они «совершенны в своем деле» и обладают значительным набором навыков, выявленных благодаря использованию как сложных, так и необычных методов антианализа и криминалистики.

Хотя подавляющее большинство их атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии (например, Малайзии, Таиланда, Вьетнама, Индонезии), исследователи также наблюдали атаки на другие геополитические области, включая такие страны, как Египет, Эфиопия и Афганистан. .

«Мы заметили, что действующему субъекту удавалось оставаться незамеченным в течение нескольких месяцев, при этом демонстрируя изящество в разработке вредоносного инструментария, глубокое понимание мышления следователя и способность различными способами противодействовать криминалистическому анализу», — сказал он. Касперский заключил .

«Злоумышленники провели необходимый уровень исследования, чтобы сделать руткит Demodex полностью работоспособным в Windows 10, позволяя загружать его с помощью задокументированных функций стороннего подписанного и безопасного драйвера.

«Это говорит о том, что руткиты по-прежнему необходимо учитывать в качестве TTP во время расследований, и что субъекты повышенной опасности, такие как тот, что стоит за GhostEmperor, готовы продолжать использовать их в будущих кампаниях».

Дополнительные технические подробности , касающиеся тактики GhostEmperor в и демодекс руткит можно найти в Касперского глубокого погружения и отчета.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here