Skrevet af Liam Tung, bidragyder
Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld bio den 1. marts 2022 | Emne: Sikkerhed Hackere forsøger at stjæle din kryptovaluta med billig og nem malware. Se nu
Sikkerhedsforskere har afsløret en snigende bagdør fra en kinesisk-tilknyttet hackergruppe, der bliver brugt til at målrette mod kritisk infrastruktur i flere lande.
Malwaren, døbt Daxin af forskere hos Broadcom-ejede Symantec, er et bagdørs “rootkit” eller malware designet til at give en angriber på lavt niveau “root” privilegieniveau adgang til et kompromitteret system. Det blev sidst brugt i november 2021, ifølge Symantec.
Symantec erklærede i et blogindlæg, at Windows-kernedriver-malwaren var det “mest avancerede stykke malware”, dets forskere havde set fra Kina-linkede aktører.
SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)
Malwaren er designet til at trænge ind i netværk, der er blevet hærdet mod cyberangreb.
Det amerikanske cybersikkerheds- og infrastrukturagentur (CISA) markerede Daxin som en “high-impact” sikkerhedshændelse baseret på information delt gennem dens private sektor USA cybersikkerhedspartnere i Joint Cyber Defense Collaborative.
CISA bemærker, at Daxin er blevet brugt mod udvalgte regeringer og andre kritiske infrastrukturmål. CISA og Symantec engagerede sig med flere regeringer, der var målrettet mod Daxin-malware og hjalp med at opdage og afhjælpe, siger CISA.
Daxin er en “meget sofistikeret rootkit-bagdør med kompleks, snigende kommando- og kontrolfunktionalitet (C2)”, ifølge CISA.
“Daxin ser ud til at være optimeret til brug mod hærdede mål, hvilket gør det muligt for aktørerne at grave sig dybt ned i målrettede netværk og eksfiltrere data uden at vække mistanke,” bemærker CISA.
Symantec-forskere mener, at malwaren bruges til spionage snarere end til at ødelægge data som WhisperGate og HermeticWiper-malwaren, der i øjeblikket er rettet mod Ukraines organisationer.
“De fleste af målene ser ud til at være organisationer og regeringer af strategisk interesse for Kina,” sagde trusselsforskere fra Symantec.
“Daxin er uden tvivl det mest avancerede stykke malware, som Symantec-forskere har set brugt af en Kina-forbundet aktør.”
Windows-kernedriver-malware er sjælden i dag, ifølge Symantec-forskere, som mener, at den ligner Regin, et stykke malware, som dets forskere var imponeret over i 2014.
Daxins iøjnefaldende funktion er, at den ikke starter sine egne netværkstjenester, men er afhængige af legitime netværkstjenester, der kører på computere, den allerede er kompromitteret.
Metoderne ligner “living-off-the-land”-teknikker, som Microsoft tidligere har advaret om i forbindelse med malware, der bruger legitime Windows-tjenester til at undgå opdagelse. Men i stedet for at køre på legitime operativsystemprocesser, udnytter Daxin lovlig sikret netværkstrafik mellem interne servere til at inficere computere og undgå opdagelse.
Malwaren giver angriberne mulighed for at kommunikere på tværs af et netværk af inficerede computere og vælger den optimale vej til kommunikation mellem disse computere i et enkelt sweep.
Det virker ved at kapre krypteringsnøgleudvekslingsprocessen mellem netværkscomputere baseret på indgående TCP-trafiksignaler, der indikerer, om en given forbindelse er værd at målrette mod.
SE: Linux malware-angreb er i stigning, og virksomheder er ikke klar til det
TCP er en af internettets originale protokoller, designet til at beskytte ende-til-ende-kommunikation mellem netværkstilsluttede enheder .
“Selvom det ikke er ualmindeligt, at angriberes kommunikation foretager flere hop på tværs af netværk for at komme uden om firewalls og generelt undgå at vække mistanke, gøres dette normalt trin for trin, således at hvert hop kræver en separat handling,” bemærker Symantec.
“Men i tilfældet med Daxin er denne proces en enkelt operation, hvilket tyder på, at malware er designet til angreb på velbevogtede netværk, hvor angribere muligvis periodisk skal genoprette forbindelse til kompromitterede computere.”
Symantec noterer sig at angriberne forsøgte at implementere Daxin i 2019 ved hjælp af en PsExec-session. PSExec er et legitimt Windows-værktøj, der gør det muligt for administratorer at fjernreparere computere.
Den tilføjer dog, at ligheder mellem kodebaserne for Daxin og tidligere kendt malware kaldet Zala antyder, at gruppen har været aktiv siden 2009. Daxin forbedrer Zalas eksisterende netværksfunktioner.
Sikkerhed
CISA, FBI advarer USA om WhisperGate og HermeticWiper malware. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Ukraine eller Rusland? Anonyme hacktivister, ransomware-grupper tager parti Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Sikkerheds-tv | Datastyring | CXO | Datacentre