Търсене
Close this search box.

Китайци използват руткит, подписан от Microsoft, атакуват сектора на игрите

Изследователи в областта на киберсигурността са открили нов руткит, подписан от Microsoft, който е разработен така, че да комуникира с инфраструктура за атаки, контролирана от хакери.

Trend Micro приписва клъстера на активност на същата група, която преди това беше идентифицирана като стояща зад руткита FiveSys, който излезе наяве през октомври 2021 г.

„Тази група произхожда от Китай, а основните  жертви са компаниите от игралният сектор в Китай“, заявиха Махмуд Зохди, Шериф Магди и Мохамед Фахми от Trend Micro. Техният зловреден софтуер изглежда е преминал през процеса на Windows Hardware Quality Labs (WHQL) за получаване на валидна сигнатура.

Открити са множество варианти на руткита, обхващащи осем различни клъстера, като през 2022 г. и 2023 г. са подписани 75 такива драйвери с помощта на програмата WHQL на Microsoft.

Анализът на Trend Micro на някои от образците е разкрил наличието на съобщения за отстраняване на грешки в изходния код, което показва, че операцията все още е във фаза на разработка и тестване.

В следващите стъпки драйверът от първия етап деактивира User Account Control (UAC) и Secure Desktop mode (режим на защитен работен плот) чрез редактиране на регистъра и инициализира обектите Winsock Kernel (WSK) за иницииране на мрежова комуникация с отдалечения сървър.

По-нататък той периодично анкетира сървъра, за да извлича повече полезни товари и да ги зарежда директно в паметта след декодиране и декриптиране на получените данни, като ефективно функционира като скрит драйвер за зареждане на ядрото, който може да заобиколи откриванията.

„Основният двоичен файл действа като универсален зареждащ модул, който позволява на атакуващите директно да заредят неподписан модул на ядрото на втори етап“, обясняват изследователите. „Всеки модул от втория етап е персонализиран за машината на жертвата, на която е внедрен, като някои от тях съдържат дори компилиран по поръчка драйвер за всяка машина. Всеки плъгин има специфичен набор от действия, които трябва да се извършват от пространството на ядрото“.

От своя страна плъгините разполагат с различни възможности за постигане на устойчивост, обезвреждане на антивирусната програма Microsoft Defender и разполагане на прокси сървър на машината и пренасочване на трафика от уеб сървъри към отдалечен прокси сървър.

Подобно на FiveSys, новите открития на руткит са ограничени изключително до Китай. Счита се, че една от предполагаемите входни точки за тези инфекции е троянизирана китайска игра, което отразява откритието на Cisco Talos за зловреден драйвер, наречен RedDriver.

Откритията съвпадат с други доклади от Cisco Talos и Sophos за използването на подписани от Microsoft зловредни драйвери в режим на ядрото за дейности след експлоатирането, като китайски говорещите  хакери използват софтуер с отворен код, популярен в общността на разработчиците на измами с видеоигри, за да заобиколят ограниченията, наложени от технологичния гигант.

Разкрити са цели 133 зловредни драйвера, подписани с легитимни цифрови сертификати, 81 от които са в състояние да прекратят работата на антивирусните решения в системите на жертвите. Останалите драйвери са руткитове, предназначени за тайно наблюдение на чувствителни данни, изпращани по интернет.

Фактът, че тези драйвери са подписани от Програмата за съвместимост на хардуера на Windows (WHCP), означава, че нападателите могат да ги инсталират на нарушените системи, без да подават никакви сигнали, и да продължат да извършват злонамерена дейност практически безпрепятствено.

„Тъй като драйверите често комуникират с „ядрото“ на операционната система и се зареждат преди софтуера за сигурност, когато с тях се злоупотребява, те могат да бъдат особено ефективни за деактивиране на защитите за сигурност – особено когато са подписани от доверен орган“, казва Кристофър Бъд, директор на отдела за изследване на заплахи в Sophos X-Ops.

В отговор на разкритията Microsoft заяви, че е въвела блокиращи защити и е спряла акаунтите на партньорите-продавачи, участвали в инцидента, за да предпази потребителите от бъдещи заплахи.

Ако не друго, разработката очертава картина на развиващ се вектор на атака, който активно се използва от противниците за получаване на привилегирован достъп до машини с Windows и заобикаляне на откриването им от софтуера за сигурност.

„Злонамерените извършители ще продължат да използват руткитове, за да скрият зловредния код от инструментите за сигурност, да влошат защитата и да летят под радара за дълги периоди от време“, казват изследователите. „Тези руткитове ще се използват интензивно от сложни групи, които притежават както умения за обратен инженеринг на системни компоненти на ниско ниво, така и необходимите ресурси за разработване на такива инструменти.“

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
Бъдете социални
Още по темата
26/01/2024

Citrix открива 2 уязвимости...

Тези уязвимости са втората и третата...
04/01/2024

Кибератаки са насочени към ...

Миналата седмица група хакери се насочи...
28/12/2023

EasyPark разкрива нарушение...

Разработчикът на приложения за паркиране EasyPark...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!