Новости Ядро под прицелом: новые методы GhostEmperor против EDR-решений

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Китайские хакеры используют партнеров своих жертв для шпионажа.


ju7a0lcd6hf6166ag95sedq38d1gjixk.jpg


Через 2 года после последнего появления китайская хакерская группа GhostEmperor вновь заявила о себе. Известная своими сложными атаками на цепочки поставок, нацеленными на телекоммуникационные и государственные структуры в Юго-Восточной Азии, GhostEmperor значительно усовершенствовала свои методы скрытия. Об этом Для просмотра ссылки Войди или Зарегистрируйся Sygnia в новом отчете.

Sygnia обнаружила, что GhostEmperor стояли за инцидентом в конце прошлого года, когда сеть неназванного клиента была скомпрометирована и использована как плацдарм для доступа к системам другой жертвы. Впервые GhostEmperor Для просмотра ссылки Войди или Зарегистрируйся лабораторией Касперского в 2021 году. В Sygnia отметили, что отсутствие публичных сообщений о GhostEmperor за этот период остается загадкой.


xc22t72el5ib6gl5pp25n0rx07jhm8s7.png


Цепочка заражения GhostEmperor

GhostEmperor известны использованием руткита на уровне ядра (kernel-level rootkit), что позволяет им избегать обнаружения системами защиты, в том числе и EDR -решений. Подобные инструменты обычно разрабатываются группировками, спонсируемыми государствами, из-за необходимых для этого ресурсов. Руткит обеспечивает доступ к привилегированной части операционной системы компьютера, ядру, что делает его трудно обнаружимым для стандартных средств защиты.

Руткит Demodex в основном является обновленным вариантом предыдущей версии, но особый интерес вызвала другая цепочка заражения, которая стала более сложной и скрытной. Это свидетельствует о том, что GhostEmperor продолжают развивать свои методы для обеспечения максимальной скрытности.

В 2021 году Лаборатория Касперского описала GhostEmperor как высококвалифицированных хакеров, которые атаковали крупные объекты в Малайзии, Таиланде, Вьетнаме и Индонезии. Дополнительные жертвы были выявлены в Египте, Эфиопии и Афганистане. Некоторые организации из указанных стран имеют тесные связи со странами Юго-Восточной Азии. Вероятно, хакеры могли использовать заражения для шпионажа за деятельностью стран, представляющих для группы геополитический интерес.

Важный аспект атаки – после проникновения в сеть клиента хакеры атаковали сети его бизнес-партнеров. Sygnia надеется, что предоставленная информация поможет организациям лучше подготовиться к угрозам. Необходимо минимизировать время, в течение которого противник находится в среде, и ускорить процесс обнаружения. Хотя 100% безопасность невозможна, организации должны разработать стратегии предотвращения и снижения рисков.
 
Источник новости
www.securitylab.ru

Похожие темы