中国黑客使用一个新的Rootkit来监视目标Windows 10用户
相关标签:
早在2020年7月,一名以前默默无闻的说中文的威胁行为人就与一项针对东南亚目标的长期规避行动有关,该行动旨在在受损的Windows系统上部署内核模式的rootkit。
黑客组织卡巴斯基发起的GhostEmperor攻击据说还使用了一个“复杂的多阶段恶意软件框架”,允许对目标主机提供持久性和远程控制俄罗斯网络安全公司称为rootkit,除了埃及、埃塞俄比亚和阿富汗的异常。
GhostempError感染被发现利用多条入侵路径,最终导致在内存中执行恶意软件,其中主要是利用Apache、Windows IIS、Oracle和Microsoft Exchange等面向公众的服务器中的已知漏洞—;包括在2021年3月和8212日曝光的PROXLogon漏洞;以获得初始立足点并横向转向受害者网络的其他部分,即使是在运行最新版本Windows 10操作系统的机器上。
成功破解后,导致部署rootkit的部分感染链通过同一网络中的另一个系统,使用WMI或PsExec等合法软件远程执行,从而执行内存内植入,能够在运行时安装额外的有效负载。
尽管Demodex依靠模糊处理和其他检测规避方法来逃避发现和分析,但它绕过了微软的驱动程序签名执行机制,允许执行未签名的,内核空间中的任意代码,通过利用一个名为“dbk64.sys”的合法开源签名驱动程序,该驱动程序与作弊引擎(一种用于将作弊引入视频游戏的应用程序)一起提供
这一消息披露之际,一名代号为TAG-28的与中国有关的威胁行为人被发现是入侵印度媒体和政府机构的幕后黑手,如时报集团、印度唯一身份认证机构(UIDAI)和中央邦警察局
本周早些时候,Recorded Future还发现了针对罗山邮件服务器的恶意活动,罗山是阿富汗最大的电信提供商之一,该公司将其归因于四个不同的中国国家赞助的参与者—;RedFoxtrot、Calypso APT以及两个单独的集群,它们使用与Winnti和PlugX组相关联的后门。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
