iyouport
中国间谍组织部署了与Windows10系统兼容的新Rootkit
Published: October 15th 2021, 6:00:03 am
在最近的 SAS 2021 安全会议上,安全公司卡巴斯基实验室的分析师公布了一个新的中国网络间谍组织的细节,该组织至少从2020年7月起就开始针对东南亚地区的高知名度实体。
该威胁组织被命名为 GhostEmperor。卡巴斯基表示,该组织使用高度复杂的工具,并经常专注于通过使用一个强大的 rootkit 来获得并保持对受害者的长期访问,该 rootkit 甚至可以在最新版本的 Windows 10 操作系统上工作。
卡巴斯基研究人员解释说:“我们观察到,潜在的威胁行为者设法在几个月内保持低调”。
GhostEmperor 的黑客攻击的切入点是面向公众的服务器。卡巴斯基认为,该组织利用 Apache、Oracle 和微软 Exchange 服务器的漏洞,侵入目标的外围网络,然后转向受害者网络中更敏感的系统。
根据会议期间发布的一份技术报告,GhostEmperor 使用各种不同的脚本和工具在受害者的网络中部署后门。
这个后门(内存中的植入物)随后被用来下载和运行 Cheat Engine,这是一个被在线游戏玩家用来在他们喜欢的视频游戏中引入作弊器的工具。
卡巴斯基表示,GhostEmperor 利用 Cheat Engine 的强大驱动力绕过 Windows PatchGuard 的安全功能,在受害者的 Windows 操作系统内安装一个 rootkit。
研究人员说,这个名为 Demodex 的 rootkit 非常先进,即使在重装操作系统后,甚至在运行最新版本的 Windows 10 操作系统的机器上,该组织也能保持对受害者设备的访问。
但这并不是 GhostEmperor 的唯一伎俩。卡巴斯基还指出,该组织的恶意软件充满了 “一套广泛的不寻常的和复杂的反取证和反分析技术”,试图阻止或至少妨碍安全研究人员试图分析他们的恶意软件。
此外,GhostEmperor 还使用了另一个巧妙的技巧,即通过将数据重新包装成假的多媒体格式,修改受感染主机与指挥和控制服务器之间的通信。
研究人员解释说,发现来自 GhostEmperor 的恶意软件的流量的安全应用程序通常会将其归类为托管在亚马逊服务器上的 RIFF、JPEG或PNG文件。
虽然卡巴斯基没有透露该组织的目标都是谁,但他们说 GhostEmperor 的目标是东南亚(马来西亚、泰国、越南和印度尼西亚)的政府实体和电信公司,在埃及、阿富汗和埃塞俄比亚也有出现。