in

Los hackers de GhostEmperor utilizan el nuevo rootkit de Windows 10 en los ataques


Los hackers de GhostEmperor utilizan el nuevo rootkit de Windows 10 en los ataques

Los ciberespías de habla china se han dirigido a agencias gubernamentales y empresas de telecomunicaciones del sudeste asiático durante más de un año engañando a los sistemas que ejecutan las últimas versiones de Windows 10 con un rootkit recién descubierto.

El grupo de piratería, llamado Espíritu emperador por los investigadores de Kaspersky que lo descubrieron utilizan el Demodex Rootkit que actúa como puerta trasera para mantener la persistencia en servidores comprometidos.

El objetivo principal de este rootkit es ocultar los artefactos de malware (incluidos archivos, claves de registro y tráfico de red) para evitar que los investigadores forenses y los productos de seguridad los detecten.

«Para evitar el mecanismo de aplicación de la firma del controlador de Windows, GhostEmperor usa un esquema de carga que incluye un componente de un proyecto de código abierto llamado Cheat Engine», dijo Kaspersky en julio cuando dio a conocer los primeros detalles sobre este actor de amenazas.

“Este conjunto de herramientas avanzadas es único y los investigadores de Kaspersky no ven ningún parecido con ningún actor de amenazas conocido. Los expertos de Kaspersky asumen que el conjunto de herramientas ha estado en uso desde al menos julio de 2020 «.

Para piratear los servidores de sus víctimas, los actores de amenazas explotaron vulnerabilidades conocidas en el software del servidor conectado a Internet, incluidos Apache, Window IIS, Oracle y Microsoft Exchange (este último ocurrió dos días después de que se publicaron los errores de ProxyLogon).

GhostEmperor también utiliza un «marco sofisticado de malware de varios niveles» que permite a los atacantes controlar de forma remota los servidores atacados utilizando funciones de control remoto del dispositivo atacado.

Cadena de infección del Emperador Fantasma
Cadena de infección del Emperador Fantasma (Kaspersky)

Grupo de piratas informáticos competente con un enfoque en objetivos de primera clase

Los operadores GhostEmperor demostraron que están «bien versados ​​en su oficio» y poseen una amplia gama de habilidades, destacadas mediante el uso de técnicas anti-analíticas y anti-forenses sofisticadas e inusuales.

Si bien la gran mayoría de sus ataques se centraron en empresas de telecomunicaciones y organizaciones gubernamentales del sudeste asiático (por ejemplo, Malasia, Tailandia, Vietnam, Indonesia), los investigadores también observaron que tenían como objetivo otras áreas geopolíticas, incluidos países como Egipto, Etiopía y Afganistán.

«Observamos que el actor subyacente logró permanecer bajo el radar durante meses mientras demostraba delicadeza en el desarrollo del conjunto de herramientas maliciosas, una comprensión profunda de la mentalidad de un investigador y la capacidad de realizar análisis forenses en una variedad de formas para contrarrestar». Kaspersky cerró .

«Los atacantes hicieron la investigación necesaria para que el rootkit Demodex sea completamente funcional en Windows 10, de modo que pueda cargarse mediante funciones documentadas de un controlador de terceros inofensivo y firmado.

«Esto sugiere que los rootkits aún deben considerarse un TTP en las investigaciones y que los actores de amenazas avanzadas como el que está detrás de GhostEmperor están listos para continuar usándolos en futuras campañas».

Para obtener más detalles técnicos sobre las tácticas de GhostEmperor y el rootkit Demodex, consulte Kaspersky Deep Dive e informe.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Eliminación de vulnerabilidades | Una guía paso a paso

La actualización de Windows 10 KB5005611 soluciona problemas con Microsoft Outlook