Les pirates chinois ont utilisé un nouveau rootkit pour espionner les utilisateurs ciblés de Windows 10

Un acteur menaçant de langue chinoise auparavant inconnu a été lié à une opération d’évasion de longue date visant des cibles d’Asie du Sud-Est dès juillet 2020 pour déployer un rootkit en mode noyau sur des systèmes Windows compromis.

Attaques montées par le groupe de piratage, surnommé Empereur Fantôme par Kaspersky, auraient également utilisé un “cadre de malware sophistiqué à plusieurs étapes” qui permet de fournir une persistance et un contrôle à distance sur les hôtes ciblés.

La firme russe de cybersécurité a appelé le rootkit Démodex, avec des infections signalées dans plusieurs entités de premier plan en Malaisie, en Thaïlande, au Vietnam et en Indonésie, en plus des valeurs aberrantes situées en Égypte, en Éthiopie et en Afghanistan.

“[Demodex] est utilisé pour cacher les artefacts du malware en mode utilisateur aux enquêteurs et aux solutions de sécurité, tout en démontrant un schéma de chargement non documenté intéressant impliquant le composant en mode noyau d’un projet open source nommé Cheat Engine pour contourner le mécanisme d’application de la signature du pilote Windows », ont déclaré les chercheurs de Kaspersky.

Il a été découvert que les infections GhostEmperor exploitent plusieurs routes d’intrusion qui aboutissent à l’exécution de logiciels malveillants en mémoire, la principale d’entre elles étant l’exploitation des vulnérabilités connues des serveurs publics tels qu’Apache, Window IIS, Oracle et Microsoft Exchange, y compris les exploits ProxyLogon qui a été mis au jour en mars 2021 – pour s’implanter dans un premier temps et pivoter latéralement vers d’autres parties du réseau de la victime, même sur des machines exécutant des versions récentes du système d’exploitation Windows 10.

Utilisateurs de Windows 10

Suite à une brèche réussie, certaines chaînes d’infection qui ont abouti au déploiement du rootkit ont été effectuées à distance via un autre système du même réseau à l’aide de logiciels légitimes tels que WMI ou PsExec, conduisant à l’exécution d’un implant en mémoire capable d’installer des charges utiles pendant l’exécution.

Malgré sa dépendance à l’obscurcissement et à d’autres méthodes d’évasion de détection pour éviter la découverte et l’analyse, Demodex contourne le mécanisme d’application de la signature des pilotes de Microsoft pour permettre l’exécution de code arbitraire non signé dans l’espace du noyau en exploitant un pilote signé légitime et open source nommé (” dbk64.sys”) qui est livré avec Cheat Engine, une application utilisée pour introduire des astuces dans les jeux vidéo.

Prévenir les violations de données

“Avec une opération de longue date, des victimes de haut niveau, [and] ensemble d’outils avancés […] l’acteur sous-jacent est hautement qualifié et accompli dans son métier, ce qui est évident à travers l’utilisation d’un large éventail de techniques anti-légales et anti-analyse inhabituelles et sophistiquées », ont déclaré les chercheurs.

La divulgation intervient alors qu’un acteur de menace lié à la Chine, nommé TAG-28, a été découvert comme étant à l’origine d’intrusions contre des médias indiens et des agences gouvernementales telles que The Times Group, l’Autorité d’identification unique de l’Inde (UIDAI) et le département de police de l’État. du Madhya Pradesh.

Recorded Future, plus tôt cette semaine, a également mis au jour une activité malveillante ciblant un serveur de messagerie de Roshan, l’un des plus grands fournisseurs de télécommunications d’Afghanistan, qu’il a attribuée à quatre acteurs distincts financés par l’État chinois – RedFoxtrot, Calypso APT, ainsi que deux clusters distincts utilisant des portes dérobées. associés aux groupes Winnti et PlugX.

 
For Latest Updates Follow us on Google News
 

PREV Sony lance des essais de jeux, essayez les jeux PS5 pour une durée limitée
NEXT Le test Halo Infinite prouve la promesse « Play Anywhere » de Xbox – Next-Gen Console Watch – IGN
----