Los hackers de GhostEmperor utilizan el nuevo rootkit de Windows 10 en los ataques
Los ciberespías de habla china se han dirigido a agencias gubernamentales y empresas de telecomunicaciones del sudeste asiático durante más de un año engañando a los sistemas que ejecutan las últimas versiones de Windows 10 con un rootkit recién descubierto.
El grupo de piratería, llamado Espíritu emperador por los investigadores de Kaspersky que lo descubrieron utilizan el Demodex Rootkit que actúa como puerta trasera para mantener la persistencia en servidores comprometidos.
El objetivo principal de este rootkit es ocultar los artefactos de malware (incluidos archivos, claves de registro y tráfico de red) para evitar que los investigadores forenses y los productos de seguridad los detecten.
«Para evitar el mecanismo de aplicación de la firma del controlador de Windows, GhostEmperor usa un esquema de carga que incluye un componente de un proyecto de código abierto llamado Cheat Engine», dijo Kaspersky en julio cuando dio a conocer los primeros detalles sobre este actor de amenazas.
“Este conjunto de herramientas avanzadas es único y los investigadores de Kaspersky no ven ningún parecido con ningún actor de amenazas conocido. Los expertos de Kaspersky asumen que el conjunto de herramientas ha estado en uso desde al menos julio de 2020 «.
Para piratear los servidores de sus víctimas, los actores de amenazas explotaron vulnerabilidades conocidas en el software del servidor conectado a Internet, incluidos Apache, Window IIS, Oracle y Microsoft Exchange (este último ocurrió dos días después de que se publicaron los errores de ProxyLogon).
GhostEmperor también utiliza un «marco sofisticado de malware de varios niveles» que permite a los atacantes controlar de forma remota los servidores atacados utilizando funciones de control remoto del dispositivo atacado.
Los operadores GhostEmperor demostraron que están «bien versados en su oficio» y poseen una amplia gama de habilidades, destacadas mediante el uso de técnicas anti-analíticas y anti-forenses sofisticadas e inusuales.
Si bien la gran mayoría de sus ataques se centraron en empresas de telecomunicaciones y organizaciones gubernamentales del sudeste asiático (por ejemplo, Malasia, Tailandia, Vietnam, Indonesia), los investigadores también observaron que tenían como objetivo otras áreas geopolíticas, incluidos países como Egipto, Etiopía y Afganistán.
«Observamos que el actor subyacente logró permanecer bajo el radar durante meses mientras demostraba delicadeza en el desarrollo del conjunto de herramientas maliciosas, una comprensión profunda de la mentalidad de un investigador y la capacidad de realizar análisis forenses en una variedad de formas para contrarrestar». Kaspersky cerró .
«Los atacantes hicieron la investigación necesaria para que el rootkit Demodex sea completamente funcional en Windows 10, de modo que pueda cargarse mediante funciones documentadas de un controlador de terceros inofensivo y firmado.
«Esto sugiere que los rootkits aún deben considerarse un TTP en las investigaciones y que los actores de amenazas avanzadas como el que está detrás de GhostEmperor están listos para continuar usándolos en futuras campañas».
Para obtener más detalles técnicos sobre las tácticas de GhostEmperor y el rootkit Demodex, consulte Kaspersky Deep Dive e informe.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
