Изследователи в областта на киберсигурността са открили нов руткит, подписан от Microsoft, който е разработен така, че да комуникира с инфраструктура за атаки, контролирана от хакери.

Trend Micro приписва клъстера на активност на същата група, която преди това беше идентифицирана като стояща зад руткита FiveSys, който излезе наяве през октомври 2021 г.

„Тази група произхожда от Китай, а основните  жертви са компаниите от игралният сектор в Китай“, заявиха Махмуд Зохди, Шериф Магди и Мохамед Фахми от Trend Micro. Техният зловреден софтуер изглежда е преминал през процеса на Windows Hardware Quality Labs (WHQL) за получаване на валидна сигнатура.

Открити са множество варианти на руткита, обхващащи осем различни клъстера, като през 2022 г. и 2023 г. са подписани 75 такива драйвери с помощта на програмата WHQL на Microsoft.

Анализът на Trend Micro на някои от образците е разкрил наличието на съобщения за отстраняване на грешки в изходния код, което показва, че операцията все още е във фаза на разработка и тестване.

В следващите стъпки драйверът от първия етап деактивира User Account Control (UAC) и Secure Desktop mode (режим на защитен работен плот) чрез редактиране на регистъра и инициализира обектите Winsock Kernel (WSK) за иницииране на мрежова комуникация с отдалечения сървър.

По-нататък той периодично анкетира сървъра, за да извлича повече полезни товари и да ги зарежда директно в паметта след декодиране и декриптиране на получените данни, като ефективно функционира като скрит драйвер за зареждане на ядрото, който може да заобиколи откриванията.

„Основният двоичен файл действа като универсален зареждащ модул, който позволява на атакуващите директно да заредят неподписан модул на ядрото на втори етап“, обясняват изследователите. „Всеки модул от втория етап е персонализиран за машината на жертвата, на която е внедрен, като някои от тях съдържат дори компилиран по поръчка драйвер за всяка машина. Всеки плъгин има специфичен набор от действия, които трябва да се извършват от пространството на ядрото“.

От своя страна плъгините разполагат с различни възможности за постигане на устойчивост, обезвреждане на антивирусната програма Microsoft Defender и разполагане на прокси сървър на машината и пренасочване на трафика от уеб сървъри към отдалечен прокси сървър.

Подобно на FiveSys, новите открития на руткит са ограничени изключително до Китай. Счита се, че една от предполагаемите входни точки за тези инфекции е троянизирана китайска игра, което отразява откритието на Cisco Talos за зловреден драйвер, наречен RedDriver.

Откритията съвпадат с други доклади от Cisco Talos и Sophos за използването на подписани от Microsoft зловредни драйвери в режим на ядрото за дейности след експлоатирането, като китайски говорещите  хакери използват софтуер с отворен код, популярен в общността на разработчиците на измами с видеоигри, за да заобиколят ограниченията, наложени от технологичния гигант.

Разкрити са цели 133 зловредни драйвера, подписани с легитимни цифрови сертификати, 81 от които са в състояние да прекратят работата на антивирусните решения в системите на жертвите. Останалите драйвери са руткитове, предназначени за тайно наблюдение на чувствителни данни, изпращани по интернет.

Фактът, че тези драйвери са подписани от Програмата за съвместимост на хардуера на Windows (WHCP), означава, че нападателите могат да ги инсталират на нарушените системи, без да подават никакви сигнали, и да продължат да извършват злонамерена дейност практически безпрепятствено.

„Тъй като драйверите често комуникират с „ядрото“ на операционната система и се зареждат преди софтуера за сигурност, когато с тях се злоупотребява, те могат да бъдат особено ефективни за деактивиране на защитите за сигурност – особено когато са подписани от доверен орган“, казва Кристофър Бъд, директор на отдела за изследване на заплахи в Sophos X-Ops.

В отговор на разкритията Microsoft заяви, че е въвела блокиращи защити и е спряла акаунтите на партньорите-продавачи, участвали в инцидента, за да предпази потребителите от бъдещи заплахи.

Ако не друго, разработката очертава картина на развиващ се вектор на атака, който активно се използва от противниците за получаване на привилегирован достъп до машини с Windows и заобикаляне на откриването им от софтуера за сигурност.

„Злонамерените извършители ще продължат да използват руткитове, за да скрият зловредния код от инструментите за сигурност, да влошат защитата и да летят под радара за дълги периоди от време“, казват изследователите. „Тези руткитове ще се използват интензивно от сложни групи, които притежават както умения за обратен инженеринг на системни компоненти на ниско ниво, така и необходимите ресурси за разработване на такива инструменти.“

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
Бъдете социални
Още по темата
09/02/2025

HPE уведомява за нарушение ...

Hewlett Packard Enterprise (HPE) уведомява служителите,...
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!