Хакери ghostemperor використовують новий руткіт для windows 10 у своїх атаках

17

реклама

Китайська хакерська група, яку дослідники “лабораторії касперського” назвали ghostemperor, використовує руткіт demodex, який діє як бекдор для збереження стійкості на скомпрометованих серверах. Основна мета цього руткіту-приховати шкідливі артефакти (включаючи файли, ключі реєстру та мережевий трафік), щоб уникнути виявлення як судовими слідчими, так і продуктами безпеки.

“щоб обійти механізм примусового застосування підпису драйверів windows, ghostemperor використовує схему завантаження, що включає компонент проекту з відкритим вихідним кодом під назвою “cheat engine”, – заявили у касперського ще в липні, коли вони опублікували перші подробиці про цю групу. “цей розширений набір інструментів унікальний, і дослідники” лабораторії касперського»не бачать подібності з вже відомими інструментами і припускають, що він використовується як мінімум з липня 2020 року”.

Щоб зламати сервери своїх жертв, зловмисники використовували відомі уразливості в серверному програмному забезпеченні з виходом в інтернет, включаючи apache, window iis, oracle і microsoft exchange. Ghostemperor використовує ” складну багатоступеневу структуру шкідливих програм», яка надає зловмисникам можливість віддаленого управління зламаними пристроями. Оператори ghostemperor показали, що вони володіють величезним набором навичок, виявлених завдяки використанню як складних, так і незвичайних методів аналізу та криміналістики.

Хоча переважна більшість їх атак була зосереджена на телекомунікаційних компаніях і державних організаціях з південно-східної азії (наприклад, малайзії, таїланду, в’єтнаму, індонезії), дослідники також спостерігали атаки і на інші регіони, включаючи такі країни, як єгипет, ефіопія і афганістан.

” ми помітили, що чинному суб’єкту вдавалося залишатися непоміченим протягом декількох місяців, при цьому демонструючи витонченість в розробці шкідливого інструментарію, глибоке розуміння мислення слідчого і здатність різними способами протидіяти криміналістичному аналізу», — заявили у касперського. “зловмисники провели необхідний рівень дослідження, щоб зробити руткіт demodex повністю працездатним в windows 10, дозволяючи завантажувати його за допомогою задокументованих функцій стороннього підписаного і безпечного драйвера.

Звіт лабораторії касперського.