Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10
Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10
Một kẻ đe dọa nói tiếng Trung chưa từng được biết đến trước đây có liên quan đến một hoạt động lẩn tránh lâu dài nhằm vào các mục tiêu Đông Nam Á kể từ tháng 7 năm 2020 để triển khai bộ rootkit chế độ hạt nhân trên các hệ thống Windows bị xâm nhập.
.jpg "Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10")
Kaspersky gọi bộ rootkit này là Demodex, với các vụ lây nhiễm được báo cáo trên một số thực thể nổi tiếng ở Malaysia, Thái Lan, Việt Nam và Indonesia, ngoài các trường hợp ngoại lệ ở Ai Cập, Ethiopia và Afghanistan.
"[Demodex] được sử dụng để ẩn các đồ tạo tác của phần mềm độc hại ở chế độ người dùng khỏi các nhà điều tra và các giải pháp bảo mật, đồng thời thể hiện một sơ đồ tải không có giấy tờ thú vị liên quan đến thành phần chế độ hạt nhân của một dự án mã nguồn mở có tên Cheat Engine để vượt qua cơ chế Thực thi Chữ ký Trình điều khiển của Windows," Các nhà nghiên cứu của Kaspersky cho biết.
Các nhiễm trùng GhostEmpool đã được phát hiện là tận dụng nhiều tuyến đường xâm nhập mà đỉnh điểm là việc thực thi phần mềm độc hại trong bộ nhớ, chủ yếu trong số đó là khai thác các lỗ hổng đã biết trong các máy chủ công khai như Apache, Window IIS, Oracle và Microsoft Exchange - bao gồm cả ProxyLogon khai thác điều đó được đưa ra ánh sáng vào tháng 3 năm 2021 - để có được chỗ đứng ban đầu và xoay trục sang các phần khác của mạng nạn nhân, ngay cả trên các máy chạy các phiên bản gần đây của hệ điều hành Windows 10.
.jpg "Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10")
Sau khi xâm nhập thành công, một số chuỗi lây nhiễm chọn lọc dẫn đến việc triển khai rootkit được thực hiện từ xa thông qua một hệ thống khác trong cùng một mạng bằng cách sử dụng phần mềm hợp pháp như WMI hoặc PsExec, dẫn đến việc thực thi bộ cấy trong bộ nhớ có khả năng cài đặt bổ sung tải trọng trong thời gian chạy.
Mặc dù phụ thuộc vào khả năng làm nhiễu loạn và các phương pháp tránh phát hiện khác để tránh bị phát hiện và phân tích, Demodex vẫn sử dụng cơ chế Thực thi chữ ký trình điều khiển của Microsoft để cho phép thực thi mã không dấu, tùy ý trong không gian hạt nhân bằng cách tận dụng trình điều khiển có chữ ký nguồn mở và hợp pháp có tên (" dbk64.sys ") được vận chuyển cùng với Cheat Engine, một ứng dụng được sử dụng để đưa các trò gian lận vào trò chơi điện tử.
Tiết lộ được đưa ra khi một kẻ đe dọa có liên hệ với Trung Quốc có tên mã TAG-28 đã bị phát hiện đứng sau các vụ xâm nhập chống lại các cơ quan chính phủ và truyền thông Ấn Độ như The Times Group, Cơ quan Nhận dạng Duy nhất của Ấn Độ (UIDAI) và sở cảnh sát của bang. của Madhya Pradesh.
Recorded Future, vào đầu tuần này, cũng đã phát hiện ra hoạt động độc hại nhắm vào một máy chủ thư của Roshan, một trong những nhà cung cấp viễn thông lớn nhất Afghanistan, mà nó quy cho bốn tác nhân khác biệt được nhà nước Trung Quốc bảo trợ - RedFoxtrot, Calypso APT, cũng như hai cụm riêng biệt sử dụng backdoor liên kết với nhóm Winnti và PlugX.
Hương – Theo TheHackerNews