Kod ESPecter atakuje Windows. Ślad prowadzi do Chin

13 października 2021, 13:38
hack1
Fot. Markus Spiske/Unsplash
CyberDefence24
CyberDefence24

Odkryto nowe złośliwe oprogramowanie, które przeprowadza ataki cyberszpiegowskie i infekuje partycje systemowe. Nazwany ESPecter, bootkit jest prawdopodobnie aktywny od 2012 roku i może być wykorzystywany przez chińskie służby.

Badacze z firmy ESET poinformowali o nowym zagrożeniu o nazwie ESPecter, które jest przeznaczone do prowadzenia działań cyberszpiegowskich.

Windows na celowniku

Według ekspertów złośliwe oprogramowanie rozpoczynało swoją działalność jako bootkit dla systemów ze starszymi BIOS-ami. Później zostało uaktualnione.

Infekcja pozostaje wewnątrz partycji systemowej w postaci łatki zaaplikowanej do Windows Boot Managera. Łata ta pozwala złośliwemu oprogramowaniu na omijanie zabezpieczeń zaimplementowanych w protokołach Windows Driver Signature Enforcement (DSE) i ładowanie swoich niepodpisanych sterowników do urządzenia.

Po załadowaniu, sterowniki te wstrzykują inne komponenty trybu użytkownika, które pozwalają na nawiązanie połączenia z serwerem atakującego.

Chiński trop

Jedna z próbek ESPectera wykorzystywała moduł funkcjonalności wykradania dokumentów, co wskazuje na jego przeznaczenie do inwigilacji. Po uruchomieniu, ESPecter instaluje backdoora z poleceniami do cyberszpiegowania, wraz z kluczowymi logami i dokumentami. Złośliwy kod regularnie wykonuje zrzuty ekranu i ukrywa ich zawartość w specjalnym katalogu.

Na razie nie ma wystarczających dowodów, aby dokonać wiarygodnego skojarzenia z jakimkolwiek autorem zagrożeń. Jednak w komponentach złośliwego oprogramowania znajdują się znaki, które wskazują na to, że atakujący posługują się chińskim.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy,o którychtrzeba  napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

image
Fot. Reklama

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24