Los investigadores de ciberseguridad han descubierto un novedoso rootkit firmado por Microsoft que está diseñado para comunicarse con una infraestructura de ataque controlada por un actor.
Trend Micro ha atribuido el grupo de actividad al mismo actor que se identificó previamente como responsable del rootkit FiveSys, que salió a la luz en octubre de 2021.
«Este actor malicioso se origina en China y sus principales víctimas son el sector de los juegos en China», Mahmoud Zohdy, Sherif Magdy y Mohamed Fahmy de Trend Micro. dicho. Su malware parece haber pasado por los laboratorios de calidad de hardware de Windows (WHQL) proceso para obtener una firma válida.
Se han descubierto múltiples variantes del rootkit que abarcan ocho clústeres diferentes, con 75 de estos controladores firmados con el programa WHQL de Microsoft en 2022 y 2023.
El análisis de Trend Micro de algunas de las muestras ha revelado la presencia de mensajes de depuración en el código fuente, lo que indica que la operación aún se encuentra en la fase de desarrollo y prueba.
En pasos posteriores, el controlador de la primera etapa desactiva el Control de cuentas de usuario (UAC) y Modo de escritorio seguro editando el registro e inicializando Winsock Kernel (WSK) objetos para iniciar la comunicación de red con el servidor remoto.
Además, sondea periódicamente el servidor para recuperar más cargas útiles y cargarlas directamente en la memoria después de decodificar y descifrar los datos recibidos, funcionando efectivamente como un cargador de controladores de kernel sigiloso que puede eludir las detecciones.
«El binario principal actúa como un cargador universal que permite a los atacantes cargar directamente un módulo de kernel sin firmar de segunda etapa», explicaron los investigadores. «Cada complemento de la segunda etapa se personaliza para la máquina víctima en la que se implementa, y algunos contienen incluso un controlador compilado personalizado para cada máquina. Cada complemento tiene un conjunto específico de acciones que se llevarán a cabo desde el espacio del kernel».
Los complementos, por su parte, vienen con diferentes capacidades para lograr persistencia, desarmar Microsoft Defender Antivirus e implementar un proxy en la máquina y redirigir el tráfico de navegación web a un servidor proxy remoto.
Al igual que FiveSys, las nuevas detecciones de rootkits se han limitado exclusivamente a China. Se dice que uno de los puntos de entrada sospechosos para estas infecciones es un juego chino troyano, que refleja el descubrimiento de Cisco Talos de un controlador malicioso llamado RedDriver.
Los hallazgos encajan con otros informes de Cisco Talos y Sophos sobre el uso de controladores maliciosos en modo kernel firmados por Microsoft para actividades posteriores a la explotación, con actores de amenazas de habla china que usan software de código abierto popular dentro de la comunidad de desarrollo de trucos de videojuegos para eludir. restricciones impuestas por el gigante tecnológico.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Se han descubierto hasta 133 controladores maliciosos firmados con certificados digitales legítimos, 81 de los cuales son capaces de acabar con las soluciones antivirus en los sistemas de las víctimas. Los controladores restantes son rootkits diseñados para monitorear de forma encubierta los datos confidenciales enviados a través de Internet.
El hecho de que estos controladores estén firmados por el Programa de compatibilidad de hardware de Windows (WHCP) significa que los atacantes pueden instalarlos en sistemas violados sin generar ninguna alerta y proceder a realizar actividades maliciosas prácticamente sin obstáculos.
«Debido a que los controladores a menudo se comunican con el ‘núcleo’ del sistema operativo y se cargan antes que el software de seguridad, cuando se abusa de ellos, pueden ser particularmente efectivos para deshabilitar las protecciones de seguridad, especialmente cuando están firmados por una autoridad de confianza», Christopher Budd, director de amenazas. investigación en Sophos X-Ops, dijo.
Microsoft, en respuesta a las revelaciones, dijo que implementó protecciones de bloqueo y suspendió las cuentas de vendedor de los socios involucrados en el incidente para proteger a los usuarios de futuras amenazas.
En todo caso, el desarrollo pinta una imagen de un vector de ataque en evolución que los adversarios están utilizando activamente para obtener acceso privilegiado a las máquinas con Windows y eludir la detección por parte del software de seguridad.
«Los actores maliciosos seguirán usando rootkits para ocultar el código malicioso de las herramientas de seguridad, dañar las defensas y pasar desapercibidos durante largos períodos de tiempo», dijeron los investigadores. «Estos rootkits verán un uso intensivo por parte de grupos sofisticados que tienen las habilidades para aplicar ingeniería inversa a los componentes del sistema de bajo nivel y los recursos necesarios para desarrollar dichas herramientas».