Кибер-шпионы, говорящие на китайском языке, уже более года нацелены на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии, используя бэкдор-системы под управлением последних версий Windows 10 с недавно обнаруженным руткитом.
Хакерская группа, которую исследователи «Лаборатории Касперского» назвали GhostEmperor , использует руткит Demodex , который действует как бэкдор для сохранения устойчивости на скомпрометированных серверах.
Основная цель этого руткита - скрыть вредоносные артефакты (включая файлы, ключи реестра и сетевой трафик), чтобы избежать обнаружения как судебными следователями, так и продуктами безопасности.
«Чтобы обойти механизм принудительного применения подписи драйверов Windows, GhostEmperor использует схему загрузки, включающую компонент проекта с открытым исходным кодом под названием« Cheat Engine »», - сказал Касперский в июле, когда он опубликовал первые подробности об этом злоумышленнике.
«Этот расширенный набор инструментов уникален, и исследователи« Лаборатории Касперского »не видят сходства с уже известными злоумышленниками. Эксперты« Лаборатории Касперского »предполагают, что этот набор инструментов используется как минимум с июля 2020 года».
Цепочка заражения GhostEmperor (Касперский)
Чтобы взломать серверы своих жертв, злоумышленники использовали известные уязвимости в серверном программном обеспечении с выходом в Интернет, включая Apache, Window IIS, Oracle и Microsoft Exchange (последний появился через два дня после публичного раскрытия ошибок ProxyLogon ).
GhostEmperor также использует «сложную многоступенчатую структуру вредоносных программ», которая позволяет злоумышленникам с возможностью удаленного управления взломанными устройствами для обеспечения удаленного управления атакованными серверами.
Квалифицированная хакерская группа с акцентом на громкие цели
Операторы GhostEmperor показали, что они «совершенны в своем деле» и обладают значительным набором навыков, выявленных благодаря использованию как сложных, так и необычных методов антианализа и криминалистики.Хотя подавляющее большинство их атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии (например, Малайзии, Таиланда, Вьетнама, Индонезии), исследователи также наблюдали атаки на другие геополитические области, включая такие страны, как Египет, Эфиопия и Афганистан. .
«Мы заметили, что действующему субъекту удавалось оставаться незамеченным в течение нескольких месяцев, при этом демонстрируя изящество в разработке вредоносного инструментария, глубокое понимание мышления следователя и способность различными способами противодействовать криминалистическому анализу», - сказал он. Касперский заключил .
«Злоумышленники провели необходимый уровень исследования, чтобы сделать руткит Demodex полностью работоспособным в Windows 10, позволяя загружать его с помощью задокументированных функций стороннего подписанного и безопасного драйвера.
«Это говорит о том, что руткиты по-прежнему необходимо учитывать в качестве TTP во время расследований, и что субъекты повышенной опасности, такие как тот, что стоит за GhostEmperor, готовы продолжать использовать их в будущих кампаниях».
Дополнительные технические подробности , касающиеся тактики GhostEmperor в и демодекс руткит можно найти в Касперского глубокого погружения и отчета .
Перевод Google
Bleeping Computer
