Изследователи в областта на киберсигурността са открили нов руткит, подписан от Microsoft, който е разработен така, че да комуникира с инфраструктура за атаки, контролирана от хакери.

Trend Micro приписва клъстера на активност на същата група, която преди това беше идентифицирана като стояща зад руткита FiveSys, който излезе наяве през октомври 2021 г.

„Тази група произхожда от Китай, а основните  жертви са компаниите от игралният сектор в Китай“, заявиха Махмуд Зохди, Шериф Магди и Мохамед Фахми от Trend Micro. Техният зловреден софтуер изглежда е преминал през процеса на Windows Hardware Quality Labs (WHQL) за получаване на валидна сигнатура.

Открити са множество варианти на руткита, обхващащи осем различни клъстера, като през 2022 г. и 2023 г. са подписани 75 такива драйвери с помощта на програмата WHQL на Microsoft.

Анализът на Trend Micro на някои от образците е разкрил наличието на съобщения за отстраняване на грешки в изходния код, което показва, че операцията все още е във фаза на разработка и тестване.

В следващите стъпки драйверът от първия етап деактивира User Account Control (UAC) и Secure Desktop mode (режим на защитен работен плот) чрез редактиране на регистъра и инициализира обектите Winsock Kernel (WSK) за иницииране на мрежова комуникация с отдалечения сървър.

По-нататък той периодично анкетира сървъра, за да извлича повече полезни товари и да ги зарежда директно в паметта след декодиране и декриптиране на получените данни, като ефективно функционира като скрит драйвер за зареждане на ядрото, който може да заобиколи откриванията.

„Основният двоичен файл действа като универсален зареждащ модул, който позволява на атакуващите директно да заредят неподписан модул на ядрото на втори етап“, обясняват изследователите. „Всеки модул от втория етап е персонализиран за машината на жертвата, на която е внедрен, като някои от тях съдържат дори компилиран по поръчка драйвер за всяка машина. Всеки плъгин има специфичен набор от действия, които трябва да се извършват от пространството на ядрото“.

От своя страна плъгините разполагат с различни възможности за постигане на устойчивост, обезвреждане на антивирусната програма Microsoft Defender и разполагане на прокси сървър на машината и пренасочване на трафика от уеб сървъри към отдалечен прокси сървър.

Подобно на FiveSys, новите открития на руткит са ограничени изключително до Китай. Счита се, че една от предполагаемите входни точки за тези инфекции е троянизирана китайска игра, което отразява откритието на Cisco Talos за зловреден драйвер, наречен RedDriver.

Откритията съвпадат с други доклади от Cisco Talos и Sophos за използването на подписани от Microsoft зловредни драйвери в режим на ядрото за дейности след експлоатирането, като китайски говорещите  хакери използват софтуер с отворен код, популярен в общността на разработчиците на измами с видеоигри, за да заобиколят ограниченията, наложени от технологичния гигант.

Разкрити са цели 133 зловредни драйвера, подписани с легитимни цифрови сертификати, 81 от които са в състояние да прекратят работата на антивирусните решения в системите на жертвите. Останалите драйвери са руткитове, предназначени за тайно наблюдение на чувствителни данни, изпращани по интернет.

Фактът, че тези драйвери са подписани от Програмата за съвместимост на хардуера на Windows (WHCP), означава, че нападателите могат да ги инсталират на нарушените системи, без да подават никакви сигнали, и да продължат да извършват злонамерена дейност практически безпрепятствено.

„Тъй като драйверите често комуникират с „ядрото“ на операционната система и се зареждат преди софтуера за сигурност, когато с тях се злоупотребява, те могат да бъдат особено ефективни за деактивиране на защитите за сигурност – особено когато са подписани от доверен орган“, казва Кристофър Бъд, директор на отдела за изследване на заплахи в Sophos X-Ops.

В отговор на разкритията Microsoft заяви, че е въвела блокиращи защити и е спряла акаунтите на партньорите-продавачи, участвали в инцидента, за да предпази потребителите от бъдещи заплахи.

Ако не друго, разработката очертава картина на развиващ се вектор на атака, който активно се използва от противниците за получаване на привилегирован достъп до машини с Windows и заобикаляне на откриването им от софтуера за сигурност.

„Злонамерените извършители ще продължат да използват руткитове, за да скрият зловредния код от инструментите за сигурност, да влошат защитата и да летят под радара за дълги периоди от време“, казват изследователите. „Тези руткитове ще се използват интензивно от сложни групи, които притежават както умения за обратен инженеринг на системни компоненти на ниско ниво, така и необходимите ресурси за разработване на такива инструменти.“