По данным «Лаборатории Касперского», во втором квартале 2021 года увеличилось количество сложных целевых атак с использованием серверов Microsoft Exchange. В частности, уязвимости в этом ПО используются китайскоговорящими хакерами для проведения кибершпионской кампании GhostEmperor.
Исследователи пишут, что группа использует продвинутый набор инструментов как минимум с июля 2020 года и атакует различные организации в Юго-Восточной Азии, включая правительственные организации и телекоммуникационные компании.
Главная отличительная особенность GhostEmperor в том, что атакующие задействовали ранее неизвестный руткит, работающий в привилегированном режиме. Чтобы обойти защитный механизм проверки подписи драйверов Windows Driver Signature Enforcement они применяли схему загрузки с инструментом Cheat Engine. Это опенсорсное ПО для анализа игр и создания чит-кодов, которое также может быть использовано для загрузки неподписанных драйверов.
«Производители совершенствуют средства детектирования и защиты от киберугроз, а организаторы целевых атак — свои инструменты. GhostEmperor — это пример того, что злоумышленники ищут новые техники и уязвимости. Используя ранее неизвестный руткит, они затрудняют расследование атак на серверы Microsoft Exchange», — говорит Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».
