Visszatért a kínai GhostEmperor
A titokzatos és titkos kínai hackercsoport, a GhostEmperor két év szünet után újra felbukkant, még fejlettebb képességekkel és kitérési technikákkal. A Kaspersky Lab által eredetileg 2021-ben felfedezett GhostEmperor hírhedt volt arról, hogy kifinomult ellátási láncot érintő támadásokon keresztül Délkelet-Ázsia távközlési és kormányzati szervezeteket vett célba.
A csoport legutóbbi tevékenységét a Sygnia kiberbiztonsági cég fedezte fel, amely a 2024. július 17-én kiadott jelentésében részletezte a csoport továbbfejlesztett támadási módszereit.
A biztonsági cég által nemrégiben egy ismeretlen ügyfél kompromittált hálózatának vizsgálata során kiderült, hogy a GhostEmperor állt a betörés mögött. A támadók a kompromittált hálózatot kiindulópontként használták, hogy beszivárogjanak egy másik áldozat rendszereibe, és ez az incidens 2021 óta az első megerősített GhostEmperor-tevékenység. A Sygnia vizsgálata megállapította, hogy a GhostEmperor frissítette a jól ismert Demodex rootkitjét, egy kernel-szintű eszközt, amely a legmagasabb szintű hozzáférést biztosítja az áldozat operációs rendszeréhez, miközben kikerüli a végponti észlelő és reagáló (EDR) szoftvereket.
A csoport hagyományosan a kezdeti hozzáférést olyan sérülékenységek kihasználásával szerezte meg, mint például a ProxyLogon. A fertőzés elindításához egy kötegelt fájlt futtattak, amely különböző eszközöket telepített, amelyek kommunikáltak egy sor parancs- és vezérlő (C2) szerverrel. A legutóbbi betörés során a GhostEmperor az Impacket Toolkit WMIExec eszközét használta a Windows Management Instrumentation (WMI) segítségével történő távoli parancsfuttatáshoz, és ezzel elindította a fertőzési láncot a fertőzött gépen.
