Hiina keelt kõnelevad küberspioonid on sihikule võtnud Kagu-Aasia valitsusasutusi ja telekommunikatsiooniettevõtteid juba üle aasta, tagauksesüsteeme, mis käitavad Windows 10 uusimaid versioone koos äsja avastatud juurkomplektiga.
Häkkerite rühmitus, hüüdnimega kummituskeiser Kaspersky teadlastelt, kes selle tuvastasid, kasutage Demodex rootkit, mis toimib tagauksena, et säilitada püsivust ohustatud serverites.
Selle juurkomplekti põhieesmärk on peita pahavara artefaktid (sh failid, registrivõtmed ja võrguliiklus), et vältida kohtuekspertiisi ja turbetoodete tuvastamist.
'Windowsi draiveri allkirjastamise mehhanismist kõrvalehoidmiseks kasutab GhostEmperor laadimisskeemi, mis hõlmab avatud lähtekoodiga projekti 'Cheat Engine' komponenti,' ütles Kaspersky juulis, kui avaldas selle kohta esimesed üksikasjad. ohunäitleja.
„See täiustatud tööriistade komplekt on ainulaadne ja Kaspersky teadlased ei näe sarnasusi teadaolevate ohustajatega. Kaspersky eksperdid on oletanud, et tööriistakomplekt on olnud kasutusel vähemalt 2020. aasta juulist.
Ohvrite serveritesse sissemurdmiseks kasutasid ohutegijad Interneti-serveritarkvara, sealhulgas Apache, Window IIS, Oracle ja Microsoft Exchange teadaolevaid turvaauke (viimane tuli kaks päeva pärast vigade avalikustamist). ProxyLogon).
GhostEmperor kasutab ka keerukat mitmeastmelist pahavararaamistikku, mis võimaldab häkitud seadmete kaugjuhtimisvõimalustega ründajatel pakkuda sihitud serverite kaugjuhtimist.
Phantom Emperori (Kaspersky) nakkusahel
Rühm asjatundlikke häkkereid, kes keskenduvad kõrgetasemelistele sihtmärkidele
GhostEmperori operaatorid on osutunud 'oma erialal vilunuks' ja neil on haruldaste ja keerukate analüüsi- ja kohtuekspertiisivastaste tehnikate abil esile tõstetud märkimisväärne hulk oskusi.
Kuigi valdav osa nende rünnakutest keskendus telekommunikatsiooniettevõtetele ja valitsusasutustele Kagu-Aasias (näiteks Malaisias, Tais, Vietnamis, Indoneesias), märkisid teadlased ka, et need olid suunatud teistele geopoliitilistele piirkondadele, sealhulgas sellistele riikidele nagu Egiptus. , Etioopia ja Afganistan. .
'Me märkasime, et taustal olev näitleja suutis jääda kuude jooksul radari alla, näidates samal ajal üles peenust pahatahtliku tööriistakomplekti väljatöötamisel, sügavat mõistmist uurija mõtteviisist ja võimet kohtuekspertiisi erinevatel viisidel võidelda,' lõpetas ta. . Kaspersky.
'Ründajad viisid läbi vajalikul tasemel uurimistööd, et muuta Demodexi juurkomplekt Windows 10-s täielikult toimivaks, võimaldades sellel laadida dokumenteeritud funktsioonide kaudu kolmanda osapoole allkirjastatud kahjutu draiveri.
'See viitab sellele, et juurkomplekte ei ole juurdluste ajal veel TTP-ks peetud ja arenenud ohus osalejad, nagu GhostEmperori taga, on valmis neid kasutama ka tulevastes kampaaniates.'
Rohkem tehnilisi üksikasju GhostEmperori ja Demodexi juurkomplekti taktika kohta leiate Kaspersky aruandest ja ülevaatest.
Mida sa arvad?
