На конференции SAS 2021 аналитики «Лаборатории Касперского» рассказали об инструментах новой китайской кибершпионской группировки GhostEmperor, которая атакует крупные организации в Юго-Восточной Азии как минимум с июля 2020 года.

Названия пострадавших компаний не раскрываются, что исследователи сообщают, что GhostEmperor атаковала государственные учреждения и телекоммуникационные компании в Юго-Восточной Азии (Малайзия, Таиланд, Вьетнам и Индонезия), а также в Египте, Афганистане и Эфиопии.

Специалисты сообщили, что GhostEmperor использует очень сложные инструменты и в основном ориентируется на получение и сохранение долгосрочного доступа к сетям своим целей. Для этого, в частности, используется специальный руткит, который работает даже с последними версиями Windows 10.

Схема атаки

Как правило, точкой изначального проникновения в сеть жертвы для GhostEmperor становятся публичные серверы. Аналитики наблюдали, что для их компрометации группировка использовала эксплоиты для уязвимостей в Apache, Oracle и Microsoft Exchange, а уже после приходила к взлому других систем в сети жертвы.

Также известно, что хакеры используют набор различных скриптов и инструментов для развертывания бэкдоров в сетях жертв. Затем такой бэкдор применяется для загрузки и запуска инструмента Cheat Engine, часто используемого геймерами для внедрения читов. Однако хакеры применяли мощные драйверы Cheat Engine для обхода защитных функций Windows PatchGuard и установки руткита Demodex в ОС жертвы. Этот руткит специалисты называют очень продвинутым,  так как он позволяет хакерам сохранить доступ к устройству жертвы даже после переустановки ОС и даже в системах с последними версиями Windows 10.

Помимо этого отмечается, что малварь группировки изобилует сложными методами защиты от криминалистики и анализа, которые должны мешать ИБ-специалистам, пытающимся проанализировать инструментарий GhostEmperor. Еще один хитрый трюк хакеров: переупаковка данных в поддельные мультимедийные форматы. В результате трафик малвари GhostEmperor, обычно замаскирован под файлы RIFF, JPEG или PNG.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии