Исследователи безопасности обнаружили Daxin, скрытый бэкдор, связанный с Китаем, специально разработанный для развертывания в защищенных корпоративных сетях с расширенными возможностями обнаружения угроз.
Согласно техническому отчету, опубликованному сегодня командой Symantec Threat Hunter, Daxin является одним из самых передовых бэкдоров, которые когда-либо применялись китайскими злоумышленниками.
Отличительной чертой Daxin является его форма, которая представляет собой драйвер ядра Windows, что является нетипичным выбором среди вредоносных программ. Его скрытность обусловлена его расширенными коммуникационными функциями, которые смешивают обмен данными с обычным интернет-трафиком.
«Daxin, без сомнения, является самой передовой вредоносной программой, которую исследователи Symantec видели в использовании субъектом, связанным с Китаем», — говорится в новом отчете Symantec.
«Учитывая его возможности и характер развернутых атак, Daxin, по-видимому, оптимизирован для использования против защищенных целей, позволяя злоумышленникам проникать глубоко в сеть цели и эксфильтровать данные, не вызывая подозрений».
Скрытие в легитимном сетевом трафике
Бэкдоры предоставляют злоумышленникам удаленный доступ к скомпрометированной компьютерной системе, позволяя им красть данные, выполнять команды или загружать и устанавливать другие вредоносные программы.Поскольку эти инструменты обычно используются для кражи информации из защищенных сетей или дальнейшей компрометации устройства, они должны включать некоторую форму шифрования или обфускации передачи данных, чтобы избежать подачи сигналов тревоги в средствах мониторинга сетевого трафика.
Daxin делает это, отслеживая сетевой трафик на устройстве по определенным шаблонам. Как только эти шаблоны будут обнаружены, он перехватит легитимное TCP-соединение и будет использовать его для связи с сервером управления и контроля.
Перехватывая TCP-соединения, вредоносное ПО Daxin может скрывать вредоносные сообщения в том, что воспринимается как законный трафик, и, таким образом, оставаться незамеченными.
«Использование Daxin перехваченных TCP-соединений обеспечивает высокую степень скрытности его связи и помогает установить соединение в сетях со строгими правилами брандмауэра. Это также может снизить риск обнаружения аналитиками SOC, отслеживающими сетевые аномалии», — поясняется в отчете Symantec. .
По сути, это открывает зашифрованный канал связи для передачи или кражи данных, и все это делается через, казалось бы, безобидный туннель TCP.
«Встроенные функции Daxin можно расширить, развернув дополнительные компоненты на зараженном компьютере. Daxin предоставляет специальный механизм связи для таких компонентов, реализуя устройство с именем \\.\Tcp4», — пояснили в Symantec.
«Вредоносные компоненты могут открыть это устройство, чтобы зарегистрироваться для связи. Каждый из компонентов может связать 32-битный идентификатор службы с открытым дескриптором \\.\Tcp4. Затем удаленный злоумышленник может взаимодействовать с выбранными компонентами, указав соответствующую службу, идентифицированную при отправке сообщений определенного типа».
Daxin также выделяется своей способностью устанавливать сложные каналы связи между несколькими зараженными компьютерами одновременно, используя одну команду для набора узлов.
Daxin устанавливает каналы связи в скомпрометированных сетях (Symantec)
Это позволяет злоумышленникам быстро восстанавливать соединения и зашифрованные каналы связи в хорошо защищенных сетях.
При этом, пока узлы активны и служат точками ретрансляции, вероятность того, что вредоносный трафик будет помечен как подозрительный, сведена к минимуму.
Китайский кибершпионаж
Аналитики угроз Symantec обнаружили доказательства связи Daxin с поддерживаемой государством китайской хакерской группой Slug (также известной как Owlproxy ).Как сообщается, этот бэкдор активно использовался в атаках по крайней мере с ноября 2019 года, а исследователи снова обнаружили признаки его развертывания в мае 2020 года и июле 2020 года.
Самые последние атаки с участием Daxin наблюдались в ноябре 2021 года и были направлены на телекоммуникационные, транспортные и производственные компании.
Стоит отметить, что Symantec утверждает, что впервые эта вредоносная программа была обнаружена еще в 2013 году, и уже использует передовые методы обнаружения и предотвращения, которые мы видим в сегодняшней версии.
Тем не менее, атак с участием Daxin не наблюдалось, хотя вполне вероятно, что хакеры-невидимки просто оставались незамеченными до 2019 года.
Перевод - Google
Bleeping Computer
