TTL OSINT

Хакер Ghost Emperor использует руткит Demodex для атаки | Sygnia

В этой статье Sygnia анализ цепочки заражения руткитом Demodex от Ghost Emperor выявляет изменения в процессе заражения по сравнению с предыдущими результатами. Обновленная цепочка заражения включает использование WMIExec, средства командной строки из Impacket Toolkit, для запуска пакетного файла, который инициирует установку вредоносного ПО и обеспечивает его сохраняемость. Пакетный файл использует легальные инструменты Windows и логические модули для обеспечения скрытности и создает новую службу с именем "WdiSystem" для загрузки вредоносной служебной библиотеки DLL (prints1m.dll). Служебная библиотека DLL динамически загружает необходимые функции и использует ключ расшифровки AES и зашифрованный с помощью AES шеллкод для загрузки библиотеки DLL core-implant с помощью отражающего загрузчика. Ядро-имплантат управляет связью C2 и устанавливает руткит ядра Demodex, обходя функцию защиты Driver Signature Enforcement (DSE) с помощью Cheat Engine и его подписанного драйвера, dbk64.sys. Злоумышленник изменил временную метку в таблице компиляции и экспорта основного импланта на 12 февраля 2016 года, но временная метка в разделе отладки установлена на 02 июля 2021 года, что указывает на то, что имплант, возможно, был создан недавно. Обновленная цепочка заражения отражает меняющуюся тактику участников угроз и важность постоянного мониторинга безопасности и анализа угроз.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.sygnia.co/blog/ghost-emperor-demodex-rootkit/

Примеры признаков компрометации:

• 43f1c44fa14f9ce2c0ba9451de2f7d3dd1a208de
• 193.239.86.168
• d8ebfd26bed0155e7c4ec2ca429c871d
• a59cca28205eeb94c331010060f86ad2f3d41882
• 95e3312de43c1da4cc3be8fa47ab9fa4

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал