Търсене
Close this search box.

Китайци използват руткит, подписан от Microsoft, атакуват сектора на игрите

Изследователи в областта на киберсигурността са открили нов руткит, подписан от Microsoft, който е разработен така, че да комуникира с инфраструктура за атаки, контролирана от хакери.

Trend Micro приписва клъстера на активност на същата група, която преди това беше идентифицирана като стояща зад руткита FiveSys, който излезе наяве през октомври 2021 г.

„Тази група произхожда от Китай, а основните  жертви са компаниите от игралният сектор в Китай“, заявиха Махмуд Зохди, Шериф Магди и Мохамед Фахми от Trend Micro. Техният зловреден софтуер изглежда е преминал през процеса на Windows Hardware Quality Labs (WHQL) за получаване на валидна сигнатура.

Открити са множество варианти на руткита, обхващащи осем различни клъстера, като през 2022 г. и 2023 г. са подписани 75 такива драйвери с помощта на програмата WHQL на Microsoft.

Анализът на Trend Micro на някои от образците е разкрил наличието на съобщения за отстраняване на грешки в изходния код, което показва, че операцията все още е във фаза на разработка и тестване.

В следващите стъпки драйверът от първия етап деактивира User Account Control (UAC) и Secure Desktop mode (режим на защитен работен плот) чрез редактиране на регистъра и инициализира обектите Winsock Kernel (WSK) за иницииране на мрежова комуникация с отдалечения сървър.

По-нататък той периодично анкетира сървъра, за да извлича повече полезни товари и да ги зарежда директно в паметта след декодиране и декриптиране на получените данни, като ефективно функционира като скрит драйвер за зареждане на ядрото, който може да заобиколи откриванията.

„Основният двоичен файл действа като универсален зареждащ модул, който позволява на атакуващите директно да заредят неподписан модул на ядрото на втори етап“, обясняват изследователите. „Всеки модул от втория етап е персонализиран за машината на жертвата, на която е внедрен, като някои от тях съдържат дори компилиран по поръчка драйвер за всяка машина. Всеки плъгин има специфичен набор от действия, които трябва да се извършват от пространството на ядрото“.

От своя страна плъгините разполагат с различни възможности за постигане на устойчивост, обезвреждане на антивирусната програма Microsoft Defender и разполагане на прокси сървър на машината и пренасочване на трафика от уеб сървъри към отдалечен прокси сървър.

Подобно на FiveSys, новите открития на руткит са ограничени изключително до Китай. Счита се, че една от предполагаемите входни точки за тези инфекции е троянизирана китайска игра, което отразява откритието на Cisco Talos за зловреден драйвер, наречен RedDriver.

Откритията съвпадат с други доклади от Cisco Talos и Sophos за използването на подписани от Microsoft зловредни драйвери в режим на ядрото за дейности след експлоатирането, като китайски говорещите  хакери използват софтуер с отворен код, популярен в общността на разработчиците на измами с видеоигри, за да заобиколят ограниченията, наложени от технологичния гигант.

Разкрити са цели 133 зловредни драйвера, подписани с легитимни цифрови сертификати, 81 от които са в състояние да прекратят работата на антивирусните решения в системите на жертвите. Останалите драйвери са руткитове, предназначени за тайно наблюдение на чувствителни данни, изпращани по интернет.

Фактът, че тези драйвери са подписани от Програмата за съвместимост на хардуера на Windows (WHCP), означава, че нападателите могат да ги инсталират на нарушените системи, без да подават никакви сигнали, и да продължат да извършват злонамерена дейност практически безпрепятствено.

„Тъй като драйверите често комуникират с „ядрото“ на операционната система и се зареждат преди софтуера за сигурност, когато с тях се злоупотребява, те могат да бъдат особено ефективни за деактивиране на защитите за сигурност – особено когато са подписани от доверен орган“, казва Кристофър Бъд, директор на отдела за изследване на заплахи в Sophos X-Ops.

В отговор на разкритията Microsoft заяви, че е въвела блокиращи защити и е спряла акаунтите на партньорите-продавачи, участвали в инцидента, за да предпази потребителите от бъдещи заплахи.

Ако не друго, разработката очертава картина на развиващ се вектор на атака, който активно се използва от противниците за получаване на привилегирован достъп до машини с Windows и заобикаляне на откриването им от софтуера за сигурност.

„Злонамерените извършители ще продължат да използват руткитове, за да скрият зловредния код от инструментите за сигурност, да влошат защитата и да летят под радара за дълги периоди от време“, казват изследователите. „Тези руткитове ще се използват интензивно от сложни групи, които притежават както умения за обратен инженеринг на системни компоненти на ниско ниво, така и необходимите ресурси за разработване на такива инструменти.“

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
Бъдете социални
Още по темата
24/05/2024

Софтуерът за запис в съдебн...

Атакуващите са заобиколили инсталатора на широко...
22/05/2024

QNAP бърза с поправката за ...

Тайванската компания QNAP Systems пусна във...
21/05/2024

Уязвимост на Fluent Bit за...

Критична уязвимост на Fluent Bit, която...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!