圈小蛙
早在2020年7月,一名以前不为人知的讲中文的黑客就与一项针对东南亚目标的长期规避行动有关,该行动旨在在受感染的Windows系统上部署内核模式rootkit。
据称,被卡巴斯基称为GhostEmperor的黑客组织发起的攻击还使用了“复杂的多阶段恶意软件框架”,该框架允许对目标主机提供持久性和远程控制。
这家俄罗斯网络安全公司称这种rootkit为Demodex,据报道,感染者来自马来西亚、泰国、越南和印度尼西亚的几个高知名度的实体,此外还有位于埃及、埃塞俄比亚和阿富汗的目标。
自动GitHub备份
“[Demodex]用于向调查人员和安全解决方案隐藏用户模式恶意软件的人工制品,同时展示了一个有趣的未记录加载方案,该方案涉及名为Cheat Engine的开源项目的内核模式组件,以绕过Windows驱动程序签名执行机制。”卡巴斯基研究人员表示。
已发现GhostEmperor感染利用多种入侵途径,最终在内存中执行恶意软件,其中主要是利用面向公众的服务器(如Apache、Window IIS、Oracle和Microsoft Exchange)中的已知漏洞——包括2021年3月曝光的ProxyLogon漏洞——以获得初步立足点并横向转向受害者网络的其他部分,即使在运行最新版本的Windows10操作系统的机器上也是如此。
Windows10用户
在成功入侵后,通过同一网络中的另一个系统,使用WMI或PsExec等合法软件,远程执行导致部署rootkit的特定感染链,导致执行内存中的植入物,能够在运行时安装额外的有效载荷。
尽管Demodex依靠混淆和其他逃避检测的方法来逃避发现和分析,但它绕过了微软的驱动程序签名执行机制,允许在内核空间执行无签名的任意代码,方法是利用一个合法和开源的签名驱动程序(“dbk64.sys”),它与Cheat Engine(一个用于在视频游戏中引入作弊器的应用程序)一起提供。
防止数据泄露
研究人员说:“由于长期的运作,高调的受害者,[和]先进的工具集[……]潜在的行为者是非常熟练的,在他们的手艺上很有成就感,这两点通过使用广泛的不寻常和复杂的反取证和反分析技术可以看出。”
这一披露是在一个与中国有关的、代号为TAG-28的威胁行为者被发现是针对印度媒体和政府机构的入侵行为的背后,如泰晤士报集团、印度唯一身份认证机构(UIDAI)和中央邦的警察部门。
本周早些时候,Recorded Future还发现了针对阿富汗最大的电信供应商之一Roshan的邮件服务器的恶意活动,它归因于四个不同的中国国家支持的行为者--RedFoxtrot、Calypso APT,以及两个使用与Winnti和PlugX集团有关的后门的独立集群。