В конце 2023 года команда Sygnia, которая занимается реагированием на инциденты, была приглашена клиентом, у которого произошло вторжение в сеть, а через нее в сеть его бизнес-партнера. В результате расследования было выявлено, что несколько серверов, рабочих станций и пользователей были скомпрометированы. Один из использованных инструментов был определен как Demodex, руткит, который ранее связывался с группой GhostEmperor, известной своими атаками на телекоммуникационные и правительственные организации Юго-Восточной Азии.
GhostEmperor
GhostEmperor - сложная группа угроз, связанная с Китаем, которая использует различные методы, чтобы затруднить анализ своих действий. Обычно они получают доступ к сети жертвы через уязвимости, затем выполняют пакетный файл, инициирующий цепочку инфекции. В данной статье описываются новые изменения в цепочке инфекции GhostEmperor, включая использование техники обхода EDR и применение рефлексивного загрузчика для выполнения вредоносного кода.
- В ходе расследования было обнаружено, что несколько серверов, рабочих станций и пользователей были скомпрометированы злоумышленником, который развернул различные инструменты для связи с набором серверов C2.
- Один из этих инструментов был идентифицирован как вариант Demodex, руткита, ранее связанного с группой угроз, известной как GhostEmperor.
- GhostEmperor - это сложная группа угроз, связанная с Китаем и известная тем, что атакует в основном телекоммуникационные и правительственные организации Юго-Восточной Азии, впервые раскрытая Касперским в блоге, опубликованном в сентябре 2021 года.
- GhostEmperor использует многоступенчатую вредоносную программу для достижения скрытного исполнения и стойкости и применяет несколько методов для затруднения процесса анализа.
- Обычно после того, как группа угроз получает первоначальный доступ к сети жертвы, используя такие уязвимости, как ProxyLogon, выполняется пакетный файл, который запускает цепочку заражения.
Команда Sygnia провела анализ варианта GhostEmperor и выявила сходство с описанным в блоге Касперского в 2021 году, однако также обнаружила несколько изменений в цепочке инфекции и вариант C++ DLL. Среди ключевых изменений было использование техники обхода EDR и рефлексивного загрузчика для выполнения вредоносного ПО в анализируемом варианте.
Злоумышленник использовал инструмент WMIExec для выполнения команд на зараженных машинах и запуска пакетного файла, который инициировал цепочку инфекции. Пакетный файл извлекал из себя несколько файлов, включая служебную библиотеку DLL, зашифрованный код Powershell и ключи реестра для выполнения следующего этапа. Пакетный файл использовал легитимные встроенные инструменты Windows, такие как reg.exe и expand.exe, чтобы привести к скрытому выполнению команд.
Далее пакетный файл запускал зашифрованный сценарий Powershell с использованием ключей реестра, и создавал новую службу, которая загружала вредоносную библиотеку DLL. Это позволяло злоумышленнику выполнять свои вредоносные действия в системе жертвы. В статье приведены дополнительные подробности о цепочке инфекции и методах, используемых группой GhostEmperor.
Indicators of Compromise
IPv4
- 193.239.86.168
Domains
- imap.dateupdata.com
MD5
- 4bb191c6d3a234743ace703d7d518f8f
- 95e3312de43c1da4cc3be8fa47ab9fa4
- d8ebfd26bed0155e7c4ec2ca429c871d
SHA1
- 43f1c44fa14f9ce2c0ba9451de2f7d3dd1a208de
- a59cca28205eeb94c331010060f86ad2f3d41882
- bab2ae2788dee2c41065850b2877202e57369f37
