Китайци използват руткит, подписан от Microsoft, атакуват сектора на игрите

Изследователи в областта на киберсигурността са открили нов руткит, подписан от Microsoft, който е разработен така, че да комуникира с инфраструктура за атаки, контролирана от хакери.

Trend Micro приписва клъстера на активност на същата група, която преди това беше идентифицирана като стояща зад руткита FiveSys, който излезе наяве през октомври 2021 г.

„Тази група произхожда от Китай, а основните  жертви са компаниите от игралният сектор в Китай“, заявиха Махмуд Зохди, Шериф Магди и Мохамед Фахми от Trend Micro. Техният зловреден софтуер изглежда е преминал през процеса на Windows Hardware Quality Labs (WHQL) за получаване на валидна сигнатура.

Открити са множество варианти на руткита, обхващащи осем различни клъстера, като през 2022 г. и 2023 г. са подписани 75 такива драйвери с помощта на програмата WHQL на Microsoft.

Анализът на Trend Micro на някои от образците е разкрил наличието на съобщения за отстраняване на грешки в изходния код, което показва, че операцията все още е във фаза на разработка и тестване.

В следващите стъпки драйверът от първия етап деактивира User Account Control (UAC) и Secure Desktop mode (режим на защитен работен плот) чрез редактиране на регистъра и инициализира обектите Winsock Kernel (WSK) за иницииране на мрежова комуникация с отдалечения сървър.

По-нататък той периодично анкетира сървъра, за да извлича повече полезни товари и да ги зарежда директно в паметта след декодиране и декриптиране на получените данни, като ефективно функционира като скрит драйвер за зареждане на ядрото, който може да заобиколи откриванията.

„Основният двоичен файл действа като универсален зареждащ модул, който позволява на атакуващите директно да заредят неподписан модул на ядрото на втори етап“, обясняват изследователите. „Всеки модул от втория етап е персонализиран за машината на жертвата, на която е внедрен, като някои от тях съдържат дори компилиран по поръчка драйвер за всяка машина. Всеки плъгин има специфичен набор от действия, които трябва да се извършват от пространството на ядрото“.

От своя страна плъгините разполагат с различни възможности за постигане на устойчивост, обезвреждане на антивирусната програма Microsoft Defender и разполагане на прокси сървър на машината и пренасочване на трафика от уеб сървъри към отдалечен прокси сървър.

Подобно на FiveSys, новите открития на руткит са ограничени изключително до Китай. Счита се, че една от предполагаемите входни точки за тези инфекции е троянизирана китайска игра, което отразява откритието на Cisco Talos за зловреден драйвер, наречен RedDriver.

Откритията съвпадат с други доклади от Cisco Talos и Sophos за използването на подписани от Microsoft зловредни драйвери в режим на ядрото за дейности след експлоатирането, като китайски говорещите  хакери използват софтуер с отворен код, популярен в общността на разработчиците на измами с видеоигри, за да заобиколят ограниченията, наложени от технологичния гигант.

Разкрити са цели 133 зловредни драйвера, подписани с легитимни цифрови сертификати, 81 от които са в състояние да прекратят работата на антивирусните решения в системите на жертвите. Останалите драйвери са руткитове, предназначени за тайно наблюдение на чувствителни данни, изпращани по интернет.

Фактът, че тези драйвери са подписани от Програмата за съвместимост на хардуера на Windows (WHCP), означава, че нападателите могат да ги инсталират на нарушените системи, без да подават никакви сигнали, и да продължат да извършват злонамерена дейност практически безпрепятствено.

„Тъй като драйверите често комуникират с „ядрото“ на операционната система и се зареждат преди софтуера за сигурност, когато с тях се злоупотребява, те могат да бъдат особено ефективни за деактивиране на защитите за сигурност – особено когато са подписани от доверен орган“, казва Кристофър Бъд, директор на отдела за изследване на заплахи в Sophos X-Ops.

В отговор на разкритията Microsoft заяви, че е въвела блокиращи защити и е спряла акаунтите на партньорите-продавачи, участвали в инцидента, за да предпази потребителите от бъдещи заплахи.

Ако не друго, разработката очертава картина на развиващ се вектор на атака, който активно се използва от противниците за получаване на привилегирован достъп до машини с Windows и заобикаляне на откриването им от софтуера за сигурност.

„Злонамерените извършители ще продължат да използват руткитове, за да скрият зловредния код от инструментите за сигурност, да влошат защитата и да летят под радара за дълги периоди от време“, казват изследователите. „Тези руткитове ще се използват интензивно от сложни групи, които притежават както умения за обратен инженеринг на системни компоненти на ниско ниво, така и необходимите ресурси за разработване на такива инструменти.“

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
Бъдете социални
Още по темата
02/10/2023

Рансъмуер банди вече използ...

Бандите за изнудване сега се насочват...
29/09/2023

Нова уязвимост в страничния...

Нова атака по странични канали, наречена...
29/09/2023

Хранилищата на GitHub са за...

Наблюдавана е нова зловредна кампания, която...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!