Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

www.tuoitre.vn -   04/10/2021 08:00:00 1038

Một kẻ đe dọa nói tiếng Trung chưa từng được biết đến trước đây có liên quan đến một hoạt động lẩn tránh lâu dài nhằm vào các mục tiêu Đông Nam Á kể từ tháng 7 năm 2020 để triển khai bộ rootkit chế độ hạt nhân trên các hệ thống Windows bị xâm nhập.

Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

Kaspersky gọi bộ rootkit này là Demodex, với các vụ lây nhiễm được báo cáo trên một số thực thể nổi tiếng ở Malaysia, Thái Lan, Việt Nam và Indonesia, ngoài các trường hợp ngoại lệ ở Ai Cập, Ethiopia và Afghanistan.

"[Demodex] được sử dụng để ẩn các đồ tạo tác của phần mềm độc hại ở chế độ người dùng khỏi các nhà điều tra và các giải pháp bảo mật, đồng thời thể hiện một sơ đồ tải không có giấy tờ thú vị liên quan đến thành phần chế độ hạt nhân của một dự án mã nguồn mở có tên Cheat Engine để vượt qua cơ chế Thực thi Chữ ký Trình điều khiển của Windows," Các nhà nghiên cứu của Kaspersky cho biết.

Các nhiễm trùng GhostEmpool đã được phát hiện là tận dụng nhiều tuyến đường xâm nhập mà đỉnh điểm là việc thực thi phần mềm độc hại trong bộ nhớ, chủ yếu trong số đó là khai thác các lỗ hổng đã biết trong các máy chủ công khai như Apache, Window IIS, Oracle và Microsoft Exchange - bao gồm cả ProxyLogon khai thác điều đó được đưa ra ánh sáng vào tháng 3 năm 2021 - để có được chỗ đứng ban đầu và xoay trục sang các phần khác của mạng nạn nhân, ngay cả trên các máy chạy các phiên bản gần đây của hệ điều hành Windows 10.

Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

Sau khi xâm nhập thành công, một số chuỗi lây nhiễm chọn lọc dẫn đến việc triển khai rootkit được thực hiện từ xa thông qua một hệ thống khác trong cùng một mạng bằng cách sử dụng phần mềm hợp pháp như WMI hoặc PsExec, dẫn đến việc thực thi bộ cấy trong bộ nhớ có khả năng cài đặt bổ sung tải trọng trong thời gian chạy.

Mặc dù phụ thuộc vào khả năng làm nhiễu loạn và các phương pháp tránh phát hiện khác để tránh bị phát hiện và phân tích, Demodex vẫn sử dụng cơ chế Thực thi chữ ký trình điều khiển của Microsoft để cho phép thực thi mã không dấu, tùy ý trong không gian hạt nhân bằng cách tận dụng trình điều khiển có chữ ký nguồn mở và hợp pháp có tên (" dbk64.sys ") được vận chuyển cùng với Cheat Engine, một ứng dụng được sử dụng để đưa các trò gian lận vào trò chơi điện tử.

Tiết lộ được đưa ra khi một kẻ đe dọa có liên hệ với Trung Quốc có tên mã TAG-28 đã bị phát hiện đứng sau các vụ xâm nhập chống lại các cơ quan chính phủ và truyền thông Ấn Độ như The Times Group, Cơ quan Nhận dạng Duy nhất của Ấn Độ (UIDAI) và sở cảnh sát của bang. của Madhya Pradesh.

Recorded Future, vào đầu tuần này, cũng đã phát hiện ra hoạt động độc hại nhắm vào một máy chủ thư của Roshan, một trong những nhà cung cấp viễn thông lớn nhất Afghanistan, mà nó quy cho bốn tác nhân khác biệt được nhà nước Trung Quốc bảo trợ - RedFoxtrot, Calypso APT, cũng như hai cụm riêng biệt sử dụng backdoor liên kết với nhóm Winnti và PlugX.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 208
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 157
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 281
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 274
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ