FacebookTwitterLinkedIn

Este și cazul unei operațiuni unice de lungă durată, „GhostEmperor”, care folosește vulnerabilitățile Microsoft Exchange pentru a ataca victime importante, cu un set de instrumente avansat și fără vreo legătură cu vreun actor de amenințare cunoscut, transmite compania de securitate.

GhostEmperor se concentrează în principal pe țintele din Asia de Sud-Est, inclusiv pe mai multe entități guvernamentale și companii de telecomunicații.

Acesta iese în evidență, deoarece folosește un rootkit Windows în mod kernel. Rootkit-urile permit controlul de la distanță al serverelor pe care le vizează. Pentru a ocoli mecanismul Windows Driver Signature Enforcement, GhostEmperor folosește o schemă de încărcare ce implică componenta unui proiect open-source numit „Cheat Engine”.

„Pe măsură ce tehnicile de detectare și protecție evoluează, la fel se întâmplă și cu actorii APT. De obicei, își reîmprospătează și își actualizează seturile de instrumente. GhostEmperor este un exemplu clar al modului în care infractorii cibernetici caută noi tehnici de utilizat și noi vulnerabilități de exploatat. Folosind un rootkit necunoscut anterior, sofisticat, au ridicat noi probleme în cadrul tendinței deja bine stabilite, de atacuri împotriva serverelor Microsoft Exchange”, spune David Emm, expert în securitate la Kaspersky.

Experții companiei de securitate au conchis că acest set de instrumente este în uz cel puțin din luna iulie a anului 2020.