Un actor de amenazas de habla china anteriormente desconocido ha sido vinculado a una operación evasiva de larga data dirigida a objetivos del sudeste asiático desde julio de 2020 para implementar un rootkit en modo kernel en sistemas Windows comprometidos.
También se dice que los ataques montados por el grupo de piratería, apodado GhostEmperor por Kaspersky, han utilizado un "marco sofisticado de malware de múltiples etapas" que permite proporcionar persistencia y control remoto sobre los hosts objetivo.La firma rusa de ciberseguridad llamada rootkit Demodex , con infecciones reportadas en varias entidades de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de valores atípicos ubicados en Egipto, Etiopía y Afganistán.
"[Demodex] se usa para ocultar los artefactos del malware en modo de usuario de los investigadores y las soluciones de seguridad, mientras demuestra un interesante esquema de carga no documentado que involucra el componente de modo kernel de un proyecto de código abierto llamado Cheat Engine para eludir el mecanismo de ejecución de la firma del controlador de Windows". Dijeron los investigadores de Kaspersky .
Se ha descubierto que las infecciones de GhostEmperor aprovechan múltiples rutas de intrusión que culminan en la ejecución de malware en la memoria, siendo la principal de ellas la explotación de vulnerabilidades conocidas en servidores públicos como Apache, Window IIS, Oracle y Microsoft Exchange, incluidos los exploits ProxyLogon que salió a la luz en marzo de 2021, para ganar un punto de apoyo inicial y pivotar lateralmente a otras partes de la red de la víctima, incluso en máquinas que ejecutan versiones recientes del sistema operativo Windows 10.
Luego de una violación exitosa, las cadenas de infección seleccionadas que resultaron en la implementación del rootkit se llevaron a cabo de forma remota a través de otro sistema en la misma red utilizando software legítimo como WMI o PsExec , lo que llevó a la ejecución de un implante en memoria capaz de instalar más cargas útiles durante el tiempo de ejecución.
A pesar de su dependencia de la ofuscación y otros métodos de detección y evasión para eludir el descubrimiento y el análisis, Demodex evita el mecanismo de aplicación de la firma del controlador de Microsoft para permitir la ejecución de código arbitrario sin firmar en el espacio del kernel aprovechando un controlador firmado legítimo y de código abierto llamado (" dbk64.sys ") que se envía junto con Cheat Engine, una aplicación que se utiliza para introducir trampas en los videojuegos.
"Con una operación de larga data, víctimas de alto perfil, [y] conjunto de herramientas avanzadas […] el actor subyacente es altamente calificado y hábil en su oficio, los cuales son evidentes a través del uso de un amplio conjunto de anti-sofisticados e inusuales técnicas forenses y anti-análisis ", dijeron los investigadores.
La revelación surge como un actor amenaza vinculada en China el nombre en código TAG-28 se ha descubierto que estar detrás de las intrusiones contra medios de comunicación indios y agencias gubernamentales, tales como el Times Group, la Autoridad de identificación único de la India (UIDAI), y el departamento de policía del estado de Madhya Pradesh.
Recorded Future, a principios de esta semana, también descubrió actividad maliciosa dirigida a un servidor de correo de Roshan, uno de los proveedores de telecomunicaciones más grandes de Afganistán, que atribuyó a cuatro actores distintos patrocinados por el estado chino: RedFoxtrot , Calypso APT, así como a dos grupos separados que utilizan puertas traseras. asociado con los grupos Winnti y PlugX.
[Fuente]: thehackernews.com
Lakshmanan, R..( 1 de Octubre de 2021). Arquitectura de espionaje.[Fotografía]. Recuperado de thehackernews.com