به گزارش کارگروه حملات سایبری سایبربان؛ یک عملیات سایبری طولانی مدت علیه اهدافی در جنوب شرقی آسیا به یک بازیگر مخرب چینی زبان ارتباط داده شده است. این کمپین که از جولای 2020 فعالیت دارد، با استفاده از روت کیت حالت کرنل سیستم های آسیب پذیر ویندوز را تحت الشعاع قرار می دهد.
آزمایشگاه کسپرسکی این حملات را به گروه هکری به نام GhostEmperor ( گوست امپرر ) ارتباط داده است. طبق ادعای این شرکت امنیت سایبری گروه نام برده از چارچوب بدافزاری چند مرحله ای پیچیده ای بهره برده است که امکان حضور و کنترل طولانی مجرمین را بر روی میزبان های هدف مهیا می کند.
این شرکت امنیت سایبری روس، روت کیت مورد استفاده در این حملات را Demodex ( دمودِکس ) نامیده است. دمودکس چندین نهاد مهم در مالزی، تایلند، ویتنام و اندونزی، مصر، اتیوپی و افغانستان را آلوده کرده است.
بر اساس ادعای محققین، دمودکس در جهت پنهان سازی فرآورده های بدافزاری از دید محققین و سیستم های امنیتی مورد استفاده قرار می گیرد. این روت کیت با استفاده از یک طرح لودینگ جالب شامل بخشی از یک پروژه متن باز به نام Cheat Engine ( چیت اینجین ) مکانیزسم شناسه درایور ویندوز را دور می زند.
گوست امپرر با استفاده از روش های مختلف بدافزار را بر روی حافظه اجرا می کند و آسیب پذیری های شناخته شده ای همچون Proxylogon را مورد بهره برداری قرار می دهد. آن ها در این صورت می توانند به سیستم قربانی دسترسی پیدا کنند و دیگر بخش های شبکه آن ها را نیز مورد پیمایش قرار دهند.
حتی سیستم عامل ویندوز 10 نیز مورد هدف این حملات قرار گرفته است.
به دنبال رخنه موفق به شبکه هدف، زنجیره های آلوده سازی منتخبی که منجبر به استفاده از روت کیت ها شدند، از راه دور توسط یک سیستم دیگر و با استفاده از نرم افزارهایی مانند WMI یا PsExec اجرا می شوند. این اتفاق می تواند اجرای ایمپلانت های درون حافظه ای را به دنبال داشته باشد که قابلیت نصب پی لودهای اضافی در حین اجرا را دارا هستند.
