Çince konuşan siberler, Güneydoğu Asya hükümeti varlıklarını ve telekomünikasyon firmalarını bir yıldan fazla bir süredir hedefledi, en son Windows 10 versiyonunu yeni keşfedilen bir rootkit ile çalıştıran arka kapı sistemleri.
Hacking Grubu, onu gören Kaspersky Araştırmacılar tarafından Ghostemperor Dubbed, Tahmin edilen sunucular üzerinde kalıcılığı korumak için bir arka kapı olarak hareket eden Demodex Rootkit'i kullanıyor.
Bu rootkit'in temel amacı, hem adli araştırmacılar hem de güvenlik ürünleri tarafından tespit etmek için kötü amaçlı yazılım eserlerini (dosyalar, kayıt defteri anahtarları ve ağ trafiği dahil) gizlemektir.
"Windows sürücüsü imza uygulama mekanizmasını atlamak için, Ghostemperor, 'hile motoru' adlı açık kaynaklı bir projenin bileşenini içeren bir yükleme şeması kullanıyor," dedi.
"Bu gelişmiş araç seti benzersiz ve Kaspersky araştırmacılar zaten bilinen tehdit aktörlerine benzerlik görmüyor. Kaspersky uzmanları, en azından Temmuz 2020'den beri araç kümesinin kullanımda olduğunu tahmin etmiştir."
Kurbanlarının sunucularını ihlal etmek için, tehdit aktörleri, Apache, Window IIS, Oracle ve Microsoft Exchange de dahil olmak üzere Internet-Couping Sunucu Yazılımında bilinen güvenlik açıklarını sömürdü (ikincisi, proxylogon hatalarının kamuya açıklandıktan iki gün sonra vurdu).
Ghostemperor ayrıca saldırganların saldırdığı sunucular üzerinde uzaktan kumandayı sağlamak için ihlal edilen cihazlar üzerinde uzaktan kumanda özelliklerine sahip olan "sofistike çok aşamalı bir kötü amaçlı yazılım çerçevesi" kullanır.
[8 / N] Ortak enfeksiyon vektörlerinin, CVE'nin serbest bırakıldıktan iki gün sonra 4 Mart, 4 Mart kadar erken kullanıldığını gördüğümüz, kamuoyu bakan web sunucularının ve proxylogon'un sömürüldüğünü değerlendiriyoruz. pic.twitter.com/rtmk6wppat
Ghostemperor operatörleri "el sanatlarında başardılar" ve hem sofistike hem de nadir görülen analiz ve anti-anti-adaletli tekniklerin kullanılmasıyla vurgulanan önemli bir becerilerle olduklarını gösterdi.
Saldırılarının büyük çoğunluğu, Güney Doğu Asya'dan (örneğin Malezya, Tayland, Vietnam, Endonezya) telekom firmalarına ve devlet örgütlerine odaklandığı halde, araştırmacılar ayrıca Mısır, Etiyopya ve Afganistan gibi ülkeler de dahil olmak üzere diğer jeopolitik alanların hedeflenmesini gözlemledi. .
"Temel aktörün aylarca radarın altında kalmayı başardığını, hepsi, kötü amaçlı araç setini geliştirmeye geldiğinde, bir araştırmacının zihniyetinin ve adli analizi çeşitli şekillerde karşı karşıya gelme yeteneğini geliştirdiklerinde bir finesse gösterdiğini gözlemledik. Kaspersky sonuçlandı.
"Saldırganlar, demodex rootkit'i Windows 10'da tamamen işlevsel hale getirmek için gerekli araştırma düzeyini yürüttü, üçüncü tarafın imzalanmış ve iyi huylu bir sürücünün belgelenmiş özellikleri ile yüklenmesini sağlar.
"Bu, tourkitlerin araştırmalar sırasında TTP olarak dikkate alınması gerektiğini ve Ghostemperor'un arkasındaki gelişmiş tehdit aktörlerinin gelecekteki kampanyalarda onları kullanmaya devam etmeye istekli olduğunu göstermektedir."
Ghostemperor'un taktikleri ve Demodex Rootkit ile ilgili daha fazla teknik detaylar Kaspersky'nin derin dalış ve raporunda bulunabilir.
Microsoft WPBT flaw, bilgisayar korsanlarının Windows aygıtlarına rootkits'i kurmasına izin verir.
Microsoft: Nobelium, Backdoor Windows Etki Alanlarına Özel Kötü Amaçlı Yazılım Kullanıyor
Finfisher Kötü Amaçlı Yazılım UEFI Bootkit ile Windows Boot Manager Hijacks
PrinternMare yamasından sonra yönetici kredilerini soran yazıcıları nasıl düzeltilir
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Kaynak: Bleeping Computer