Gli hacker cinesi hanno utilizzato un nuovo rootkit per spiare gli utenti di Windows 10

Un attore di minacce di lingua cinese precedentemente sconosciuto è stato collegato a un'operazione evasiva di lunga data mirata a obiettivi del sud-est asiatico già nel luglio 2020 per distribuire un rootkit in modalità kernel su sistemi Windows compromessi.

Si dice anche che gli attacchi sferrati dal gruppo di hacker, soprannominato GhostEmperor di Kaspersky, abbiano utilizzato un "sofisticato framework di malware multi-stadio" che consente di fornire persistenza e controllo remoto sugli host mirati.

La società di sicurezza informatica russa ha chiamato il rootkit Demodex , con infezioni segnalate in diverse entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a valori anomali situati in Egitto, Etiopia e Afghanistan.

"[Demodex] viene utilizzato per nascondere gli artefatti del malware in modalità utente agli investigatori e alle soluzioni di sicurezza, mentre dimostra un interessante schema di caricamento non documentato che coinvolge il componente in modalità kernel di un progetto open source chiamato Cheat Engine per aggirare il meccanismo di imposizione della firma dei driver di Windows", Hanno detto i ricercatori di Kaspersky .

È stato scoperto che le infezioni GhostEmperor sfruttano più percorsi di intrusione che culminano nell'esecuzione di malware in memoria, il principale tra questi è lo sfruttamento di vulnerabilità note in server pubblici come Apache, Window IIS, Oracle e Microsoft Exchange, inclusi gli exploit ProxyLogon che è venuto alla luce nel marzo 2021, per ottenere un punto d'appoggio iniziale e ruotare lateralmente verso altre parti della rete della vittima, anche su macchine che eseguono versioni recenti del sistema operativo Windows 10.

A seguito di una violazione riuscita, determinate catene di infezione che hanno portato alla distribuzione del rootkit sono state eseguite in remoto tramite un altro sistema nella stessa rete utilizzando software legittimo come WMI o PsExec , portando all'esecuzione di un impianto in memoria in grado di installare ulteriori payload durante il runtime.

Nonostante la sua dipendenza dall'offuscamento e da altri metodi di elusione del rilevamento per eludere la scoperta e l'analisi, Demodex aggira il meccanismo Microsoft Driver Signature Enforcement per consentire l'esecuzione di codice arbitrario non firmato nello spazio del kernel sfruttando un driver firmato legittimo e open source denominato (" dbk64.sys") fornito insieme a Cheat Engine, un'applicazione utilizzata per introdurre cheat nei videogiochi.

"Con un'operazione di lunga data, vittime di alto profilo, [e] un set di strumenti avanzati […] l'attore sottostante è altamente qualificato e compiuto nel suo mestiere, entrambi evidenti attraverso l'uso di un'ampia serie di insoliti e sofisticati anti- tecniche forensi e anti-analisi", hanno detto i ricercatori.

La rivelazione arriva quando un attore di minacce collegato alla Cina, nome in codice TAG-28, è stato scoperto dietro le intrusioni contro i media indiani e le agenzie governative come The Times Group, l'Unique Identification Authority of India (UIDAI) e il dipartimento di polizia dello stato. del Madhya Pradesh.

Recorded Future, all'inizio di questa settimana, ha anche portato alla luce attività dannose mirate a un server di posta di Roshan, uno dei maggiori fornitori di telecomunicazioni dell'Afghanistan, che ha attribuito a quattro distinti attori sponsorizzati dallo stato cinese: RedFoxtrot , Calypso APT, nonché a due cluster separati che utilizzano backdoor associati ai gruppi Winnti e PlugX.