Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

www.tuoitre.vn -   04/10/2021 08:00:00 111

Một kẻ đe dọa nói tiếng Trung chưa từng được biết đến trước đây có liên quan đến một hoạt động lẩn tránh lâu dài nhằm vào các mục tiêu Đông Nam Á kể từ tháng 7 năm 2020 để triển khai bộ rootkit chế độ hạt nhân trên các hệ thống Windows bị xâm nhập.

Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

Kaspersky gọi bộ rootkit này là Demodex, với các vụ lây nhiễm được báo cáo trên một số thực thể nổi tiếng ở Malaysia, Thái Lan, Việt Nam và Indonesia, ngoài các trường hợp ngoại lệ ở Ai Cập, Ethiopia và Afghanistan.

"[Demodex] được sử dụng để ẩn các đồ tạo tác của phần mềm độc hại ở chế độ người dùng khỏi các nhà điều tra và các giải pháp bảo mật, đồng thời thể hiện một sơ đồ tải không có giấy tờ thú vị liên quan đến thành phần chế độ hạt nhân của một dự án mã nguồn mở có tên Cheat Engine để vượt qua cơ chế Thực thi Chữ ký Trình điều khiển của Windows," Các nhà nghiên cứu của Kaspersky cho biết.

Các nhiễm trùng GhostEmpool đã được phát hiện là tận dụng nhiều tuyến đường xâm nhập mà đỉnh điểm là việc thực thi phần mềm độc hại trong bộ nhớ, chủ yếu trong số đó là khai thác các lỗ hổng đã biết trong các máy chủ công khai như Apache, Window IIS, Oracle và Microsoft Exchange - bao gồm cả ProxyLogon khai thác điều đó được đưa ra ánh sáng vào tháng 3 năm 2021 - để có được chỗ đứng ban đầu và xoay trục sang các phần khác của mạng nạn nhân, ngay cả trên các máy chạy các phiên bản gần đây của hệ điều hành Windows 10.

Tin tặc Trung Quốc đã sử dụng bộ rootkit mới để theo dõi người dùng Windows 10

Sau khi xâm nhập thành công, một số chuỗi lây nhiễm chọn lọc dẫn đến việc triển khai rootkit được thực hiện từ xa thông qua một hệ thống khác trong cùng một mạng bằng cách sử dụng phần mềm hợp pháp như WMI hoặc PsExec, dẫn đến việc thực thi bộ cấy trong bộ nhớ có khả năng cài đặt bổ sung tải trọng trong thời gian chạy.

Mặc dù phụ thuộc vào khả năng làm nhiễu loạn và các phương pháp tránh phát hiện khác để tránh bị phát hiện và phân tích, Demodex vẫn sử dụng cơ chế Thực thi chữ ký trình điều khiển của Microsoft để cho phép thực thi mã không dấu, tùy ý trong không gian hạt nhân bằng cách tận dụng trình điều khiển có chữ ký nguồn mở và hợp pháp có tên (" dbk64.sys ") được vận chuyển cùng với Cheat Engine, một ứng dụng được sử dụng để đưa các trò gian lận vào trò chơi điện tử.

Tiết lộ được đưa ra khi một kẻ đe dọa có liên hệ với Trung Quốc có tên mã TAG-28 đã bị phát hiện đứng sau các vụ xâm nhập chống lại các cơ quan chính phủ và truyền thông Ấn Độ như The Times Group, Cơ quan Nhận dạng Duy nhất của Ấn Độ (UIDAI) và sở cảnh sát của bang. của Madhya Pradesh.

Recorded Future, vào đầu tuần này, cũng đã phát hiện ra hoạt động độc hại nhắm vào một máy chủ thư của Roshan, một trong những nhà cung cấp viễn thông lớn nhất Afghanistan, mà nó quy cho bốn tác nhân khác biệt được nhà nước Trung Quốc bảo trợ - RedFoxtrot, Calypso APT, cũng như hai cụm riêng biệt sử dụng backdoor liên kết với nhóm Winnti và PlugX.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cập nhật ngay máy tính Windows ngay lập ...

15/10/2021 08:00:00 15
Microsoft đã tung ra các bản vá bảo mật cho tổng cộng 71 lỗ hổng trong Microsoft Windows và các phần...

Kaspersky trao đổi về sự chuyển dịch của...

14/10/2021 08:00:00 101
Sự kiện Cybersecurity Weekend lần thứ 7 do Kaspersky tổ chức tập trung thảo luận chi tiết về thái độ...

Apple khẩn cấp phát hành bản vá lỗi cho ...

12/10/2021 08:00:00 78
Hôm thứ Hai, Apple đã phát hành một bản cập nhật bảo mật cho iOS và iPad để giải quyết một lỗ hổng n...

3 chiêu trò lừa đảo tinh vi trên mạng xã...

11/10/2021 08:00:00 71
Ngày nay, những kẻ lừa đảo ngày càng phát triển một cách tinh vi. Dưới đây là một số chiến thuật mới...

Apple yêu cầu tất cả các ứng dụng cho ph...

08/10/2021 08:00:00 98
Apple cho biết, tất cả các ứng dụng iOS, iPadOS và macOS của bên thứ ba cho phép người dùng tạo tài ...

150 triệu người dùng của Google đã được ...

06/10/2021 02:00:00 163
Google đã công bố kế hoạch tự động đăng ký khoảng 150 triệu người dùng vào chương trình xác thực hai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ