El grupo de ciberamenazas GhostEmperor apunta a Exchange

Así lo revela un informe detallado que proporciona información sobre la nueva actividad vinculada a GhostEmperor. El actor de amenazas ha sido descubierto recientemente utilizando un nuevo rootkit y explotando las vulnerabilidades de Exchange.

Se ha dirigido principalmente a entidades gubernamentales y de telecomunicaciones del sudeste asiático, lo que no significa que se expanda a otros sectores del globo. Informe elaborado por Kaspersky.

GhostEmperor está utilizando un rootkit en modo kernel de Windows -no descubierto-, llamado Demodex, junto a un sofisticado marco de malware de múltiples etapas utilizado para el control remoto de servidores específicos.

La mayoría de las infecciones se implementaron en servidores públicos, incluidos los servidores Apache, los servidores Windows IIS y los servidores Oracle.

Se sospecha que los atacantes han aprovechado las vulnerabilidades en las aplicaciones web correspondientes.

Después de obtener acceso a los sistemas objetivo, los atacantes han utilizado una combinación de conjuntos de herramientas ofensivas personalizadas y de código abierto para recopilar credenciales de usuario y apuntar a otros sistemas en la red.

El grupo evade la aplicación de la firma del controlador de Windows mediante el uso de un esquema de carga no documentado utilizando el componente en modo kernel de Cheat Engine (un proyecto de código abierto).

GhostEmperor ha utilizado tácticas de ofuscación y anti-análisis para dificultar a los analistas examinar el malware.

Las herramientas utilizadas incluyen utilidades comunes desarrolladas por la suite Sysinternals para controlar procesos (PsExec, ProcDump y PsList), junto con BITSAdmin, CertUtil y WinRAR.

Además, los atacantes también utilizaron herramientas de código abierto como Get-PassHashes [.] Ps1, Token [.] Exe, Ladon y mimkat_ssp. Para el reconocimiento / comunicación de la red interna, utilizaron Powercat / NBTscan.

El uso de técnicas anti-forenses y una amplia variedad de conjuntos de herramientas indican que el grupo GhostEmperor posee un conocimiento sólido y acceso a infraestructura avanzada para operar.