Los piratas informáticos chinos utilizaron un nuevo rootkit para espiar a los usuarios específicos de Windows 10

Un actor de amenazas de habla china previamente desconocido ya estaba vinculado en julio de 2020 con una operación de respaldo de larga data contra objetivos del sudeste asiático para implementar un rootkit en modo kernel en sistemas Windows comprometidos.

Ataques del grupo de hackers, llamado Espíritu emperador de Kaspersky, también se dice que ha utilizado un «marco sofisticado de malware de varios niveles» que permite la persistencia y el control remoto de los hosts objetivo.

La empresa rusa de ciberseguridad llamada rootkit Demodex, con infecciones reportadas en varias empresas de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de valores atípicos en Egipto, Etiopía y Afganistán.

«[Demodex] se utiliza para ocultar los artefactos del malware en modo de usuario de los investigadores y las soluciones de seguridad, al mismo tiempo que demuestra un interesante esquema de carga no documentado que incluye el componente en modo kernel de un proyecto de código abierto llamado Cheat Engine para proporcionar el mecanismo para hacer cumplir Windows: para evitar la firma del controlador ”, dijeron los investigadores de Kaspersky.

Se ha descubierto que las infecciones de GhostEmperor utilizan múltiples rutas de penetración que culminan en la ejecución de malware en la memoria, sobre todo explotando vulnerabilidades conocidas en servidores de acceso público como Apache, Window IIS, Oracle y Microsoft Exchange, incluidos los exploits ProxyLogon, que salieron a la luz en Marzo de 2021: para obtener un primer punto de apoyo y de lado a otras partes de la red de la víctima, incluso en computadoras con versiones más recientes del sistema operativo Windows 10.

Después de un ataque exitoso, las cadenas de infección seleccionadas que llevaron al despliegue del rootkit se ejecutaron de forma remota a través de otro sistema en la misma red con software legítimo como WMI o PsExec, lo que resultó en la ejecución de un implante en memoria que permitió instalaciones adicionales. de cargas útiles durante el tiempo de ejecución.

A pesar de su dependencia de la ofuscación y otros métodos de omisión de detección para evadir la detección y el análisis, Demodex omite el mecanismo de aplicación de la firma del controlador de Microsoft para permitir que se ejecute código arbitrario sin firmar en el espacio del kernel mediante el uso de un controlador legítimo y firmado de código abierto llamado «dbk64.sys «) que se envía con Cheat Engine, una aplicación que introduce trampas en los videojuegos.

«Con una operación de larga data, víctimas de alto nivel, [and] conjunto de herramientas extendido […] el actor subyacente es altamente calificado y versado en su oficio, como lo demuestra el uso de una amplia gama de técnicas anti-forenses y anti-analíticas inusuales y sofisticadas «, dijeron los investigadores.

La revelación se produce después de que se descubrió a un actor de amenazas afiliado a China con nombre en código TAG-28 que estaba detrás de los allanamientos contra los medios de comunicación y agencias gubernamentales indias como The Times Group, la Autoridad de Identificación Única de la India (UIDAI) y la fuerza policial estatal de Madhya. Pradesh.

Recorded Future también descubrió actividad maliciosa a principios de esta semana dirigida a un servidor de correo propiedad de Roshan, uno de los proveedores de telecomunicaciones más grandes de Afganistán, que se remonta a cuatro actores chinos diferentes patrocinados por el gobierno: RedFoxtrot, Calypso APT, así como dos clústeres separados que utilizan Winnti. puerta trasera – y asignado a grupos PlugX.