Tin tặc Trung Quốc triển khai Rootkit có chữ ký của Microsoft để nhắm mục tiêu vào lĩnh vực trò chơi

www.tuoitre.vn -   18/07/2023 08:00:00 207

Các nhà nghiên cứu an ninh mạng đã khai quật được một bộ rootkit mới do Microsoft ký, được thiết kế để giao tiếp với cơ sở hạ tầng tấn công do tác nhân kiểm soát.

Tin tặc Trung Quốc triển khai Rootkit có chữ ký của Microsoft để nhắm mục tiêu vào lĩnh vực trò chơi

Các chuyên gia bảo mật đã gán cụm hoạt động này cho cùng một tác nhân trước đây được xác định là đứng sau FiveSys, được đưa ra ánh sáng vào tháng 10/2021.

Họ cho biết : “Tác nhân độc hại này có nguồn gốc từ Trung Quốc và nạn nhân chính của chúng là lĩnh vực trò chơi ở Trung Quốc. "Phần mềm độc hại của họ dường như đã vượt qua quy trình của Phòng thí nghiệm chất lượng phần cứng Windows (WHQL) để có được chữ ký hợp lệ." Nhiều biến thể của rootkit bao gồm tám cụm khác nhau đã được phát hiện, với 75 trình điều khiển như vậy được ký bằng chương trình WHQL của Microsoft vào năm 2022 và 2023.

Trong các bước tiếp theo, trình điều khiển giai đoạn đầu tiên sẽ vô hiệu hóa chế độ Kiểm soát tài khoản người dùng (UAC) và Máy tính để bàn an toàn bằng cách chỉnh sửa sổ đăng ký và khởi tạo các đối tượng Winsock Kernel (WSK) để bắt đầu giao tiếp mạng với máy chủ từ xa.

Nó tiếp tục thăm dò định kỳ máy chủ để truy xuất thêm tải trọng và tải chúng trực tiếp vào bộ nhớ sau khi giải mã và giải mã dữ liệu nhận được, hoạt động hiệu quả như một trình tải trình điều khiển hạt nhân tàng hình có thể vượt qua sự phát hiện.

Các nhà nghiên cứu giải thích: “Đĩa nhị phân chính hoạt động như một trình tải phổ quát cho phép kẻ tấn công tải trực tiếp mô-đun hạt nhân không dấu ở giai đoạn hai”. "Mỗi plug-in giai đoạn hai được tùy chỉnh cho máy nạn nhân mà nó được triển khai, với một số thậm chí còn chứa trình điều khiển được biên dịch tùy chỉnh cho từng máy. Mỗi plug-in có một bộ hành động cụ thể được thực hiện từ không gian kernel."

Về phần mình, các phần bổ trợ đi kèm với các khả năng khác nhau để đạt được sự bền bỉ, vô hiệu hóa Tính năng Chống Virut của Bộ bảo vệ Microsoft và triển khai proxy trên máy cũng như chuyển hướng lưu lượng truy cập duyệt web đến một máy chủ proxy từ xa.

Rootkit có chữ ký của Microsoft

Giống như FiveSys, khả năng phát hiện rootkit mới chỉ giới hạn ở Trung Quốc. Một trong những điểm truy cập bị nghi ngờ cho những sự lây nhiễm này được cho là một trò chơi bị trojan hóa của Trung Quốc, phản ánh việc Cisco Talos phát hiện ra một trình điều khiển độc hại có tên RedDriver.

Các phát hiện này khớp với các báo cáo khác từ Cisco Talos và Sophos về việc sử dụng trình điều khiển chế độ nhân độc hại do Microsoft ký cho các hoạt động hậu khai thác, với các tác nhân đe dọa nói tiếng Trung Quốc sử dụng phần mềm mã nguồn mở phổ biến trong cộng đồng phát triển gian lận trò chơi điện tử để vượt qua những hạn chế được thi hành bởi gã khổng lồ công nghệ.

Có tới 133 trình điều khiển độc hại được ký bằng chứng chỉ kỹ thuật số hợp pháp đã được phát hiện, 81 trong số đó có khả năng chấm dứt các giải pháp chống vi-rút trên hệ thống của nạn nhân. Các trình điều khiển còn lại là rootkit được thiết kế để bí mật theo dõi dữ liệu nhạy cảm được gửi qua internet.

Việc các trình điều khiển này được ký bởi Chương trình tương thích phần cứng Windows (WHCP) có nghĩa là kẻ tấn công có thể cài đặt chúng trên các hệ thống bị vi phạm mà không đưa ra bất kỳ cảnh báo nào và tiến hành thực hiện hoạt động độc hại hầu như không bị cản trở.

"Bởi vì các trình điều khiển thường giao tiếp với 'lõi' của hệ điều hành và tải trước phần mềm bảo mật, khi chúng bị lạm dụng, chúng có thể đặc biệt hiệu quả trong việc vô hiệu hóa các biện pháp bảo vệ an ninh - đặc biệt là khi được ký bởi một cơ quan đáng tin cậy," Christopher Budd, giám đốc mối đe dọa nghiên cứu tại Sophos X-Ops, cho biết.

Microsoft, đáp lại những tiết lộ, cho biết họ đã triển khai các biện pháp ngăn chặn và tạm ngưng tài khoản người bán của các đối tác liên quan đến vụ việc để bảo vệ người dùng khỏi các mối đe dọa trong tương lai.

Nếu bất cứ điều gì, sự phát triển vẽ ra một bức tranh về một vectơ tấn công đang phát triển đang được các kẻ thù tích cực sử dụng để có được quyền truy cập đặc quyền vào các máy Windows và bị phần mềm bảo mật phát hiện bên lề.

Các nhà nghiên cứu cho biết: “Các tác nhân độc hại sẽ tiếp tục sử dụng rootkit để che giấu mã độc hại khỏi các công cụ bảo mật, làm suy yếu khả năng phòng thủ và bay dưới radar trong thời gian dài”. "Những rootkit này sẽ được sử dụng nhiều từ các nhóm tinh vi có cả kỹ năng thiết kế ngược các thành phần hệ thống cấp thấp và các tài nguyên cần thiết để phát triển các công cụ như vậy."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 500
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.082
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 951
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 82
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 874
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 99
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ