Ovaj tajni i 'najnapredniji' zlonamjerni softver kopa duboko u mreže kako bi ukrao podatke

Sigurnosni istraživači otkrili su prikrivena stražnja vrata hakerske skupine povezane s Kinom koja se koristi za ciljanje kritične infrastrukture u više zemalja.

Zlonamjerni softver, koji su istraživači nazvali Daxin Symantec u vlasništvu Broadcoma, backdoor je 'rootkit' ili zlonamjerni softver dizajniran da napadaču da nisku razinu 'root' pristupa kompromitiranom sustavu. Zadnji put je korišten u studenom 2021., prema Symantecu.

Symantec objavljeno u objavi na blogu da je zlonamjerni softver upravljačkog programa jezgre Windowsa "najnapredniji komad zlonamjernog softvera" koji su njegovi istraživači vidjeli od aktera povezanih s Kinom.

VIDJETI: Kibernetička sigurnost: taktizirajmo (ZDNet posebno izvješće)

Zlonamjerni softver dizajniran je za prodor u mreže koje su otporne na kibernetičke napade.

Agencija za kibernetičku sigurnost i infrastrukturu SAD-a (CISA) označila je Daxin kao sigurnosni incident "velikog utjecaja" na temelju informacija podijeljenih putem privatni sektor američki partneri u kibernetičkoj sigurnosti u Joint Cyber ​​Defence Collaborative.

CISA napominje da je Daxin korišten protiv odabranih vlada i drugih kritičnih infrastrukturnih ciljeva. CISA i Symantec surađivali su s više vlada koje su ciljale zlonamjerni softver Daxin i pomogli u otkrivanju i sanaciji, kaže CISA.

Daxin je "visoko sofisticirani rootkit backdoor sa složenom, skrivenom funkcionalnošću zapovijedanja i kontrole (C2), prema CISA-i.

"Čini se da je Daxin optimiziran za korištenje protiv tvrdokornih meta, dopuštajući akterima da se duboko ukopaju u ciljane mreže i izvuku podatke bez izazivanja sumnje", primjećuje CISA.

Symantecovi istraživači vjeruju da se zlonamjerni softver koristi za špijunažu, a ne za uništavanje podataka kao što su zlonamjerni softver WhisperGate i HermeticWiper trenutno cilja na ukrajinske organizacije.

Čini se da su većina meta organizacije i vlade od strateškog interesa za Kinu, rekli su Symantecovi istraživači prijetnji.

"Daxin je bez sumnje najnapredniji komad zlonamjernog softvera koji su Symantecovi istraživači vidjeli da koristi akter povezan s Kinom."

Zlonamjerni softver upravljačkog programa jezgre sustava Windows danas je rijedak, tvrde Symantecovi istraživači, koji vjeruju da je sličan Reginu, dijelu zlonamjernog softvera njegovi su istraživači bili impresionirani 2014.

Daxinova značajka koja se ističe je da ne pokreće vlastite mrežne usluge, već se oslanja na legitimne mrežne usluge koje rade na računalima koja su već ugrožena.

Metode su slične tehnikama "života izvan zemlje" koje ima Microsoft prethodno upozoreni u vezi sa zlonamjernim softverom koji koristi legitimne Windows usluge za izbjegavanje otkrivanja. Ali umjesto da koristi legitimne procese operacijskog sustava, Daxin iskorištava legitimni zaštićeni mrežni promet između internih poslužitelja kako bi zarazio računala i izbjegao otkrivanje.

Zlonamjerni softver omogućuje napadačima komunikaciju preko mreže zaraženih računala i odabire optimalan put za komunikaciju između tih računala u jednom potezu.

Djeluje tako da otima proces razmjene ključeva šifriranja između umreženih računala na temelju dolaznih TCP prometnih signala koji pokazuju je li određena veza vrijedna ciljanja.

VIDJETI: Napadi zlonamjernim softverom na Linux su u porastu, a tvrtke nisu spremne za to

TCP je jedan od izvorni internetski protokoli, dizajniran za zaštitu end-to-end komunikacija između uređaja povezanih na mrežu.

"Iako nije neuobičajeno da komunikacija napadača napravi višestruke skokove preko mreža kako bi zaobišli vatrozid i općenito izbjegavajte izazivanje sumnje, to se obično radi korak po korak, tako da svaki skok zahtijeva zasebnu radnju," Symantec bilješke.

"Međutim, u slučaju Daxina, ovaj proces je jedna operacija, što sugerira da je malware dizajniran za napadi na dobro čuvane mreže, gdje će se napadači možda morati povremeno ponovno spojiti na ugrožene mreže računala."

Symantec napominje da su napadači pokušali implementirati Daxin 2019. koristeći PsExec sesiju. PSExec je legitiman Windows alat koji omogućuje administratorima daljinski popravak računala.

Međutim, dodaje se da sličnosti između baza koda Daxina i ranije poznatog zlonamjernog softvera pod nazivom Zala sugeriraju da je grupa aktivna od 2009. godine. Daxin poboljšava Zala-ine već postojeće mrežne značajke.