جاسوسان سایبری چینی بیشتر از یک سال است که به شرکتهای ارتباطی و ارگانهای دولتی کشورهای جنوب شرقی آسیا حمله میکنند و با ایجاد درب پشتی در آخرین نسخههای ویندوز ۱۰، روتکیت جدیدی را بر روی سیستمهای قربانی نصب میکنند. این گروه که با نام GhostEmperor شناخته میشود، از روتکیت Demodex استفاده میکند که به عنوان درب پشتی و به هدف ماندگاری بر روی سیستمها عمل میکند.
هدف اولیه این روتکیت مخفی کردن قسمتهای مختلف بدافزار از جمله فایلها، کلیدهای رجیستری و ترافیک شبکه مورد استفاده آن است تا از شناسایی شدن توسط محققان و یا محصولات امنیتی جلوگیری کند. برای دور زدن مکانیزمهای تقویت امضای درایوری ویندوز، این گروه از قسمتهایی از یک پروژه منبع باز به نام Cheat Engine استفاده میکنند. این ابزار پیشرفته و منحصر به فرد بوده و هیچ نمونه مشابهی برای آن مشاهده نشده است و به نظر میرسد که از ماه جولای سال ۲۰۲۰ توسط این گروه بدافزاری مورد استفاده قرار میگیرد.
GhostEmperor برای نفوذ به سرور قربانیان، از آسیبپذیریهای شناخته شده در نرمافزارهای سروری اینترنتی مانند Apache ،Window IIS ،Oracle و Microsoft Exchange استفاده میکنند. همچنین، از یک framework پیچیده چند مرحلهای استفاده میکند که قابلیتهای کنترل از راه دور دستگاههای آلوده شده را به مهاجمان میدهد.
هدف این گروه سازمانهای با سابقه و بزرگ است و به همین خاطر از تکنیکهای بسیار پیشرفته ضدفارنزیک و ضدامنیتی استفاده میکنند که کار شناسایی آنها را بسیار سخت میکند. در حالی که بیشتر اهداف این گروه، شرکتهای ارتباطی و ارگانهای دولتی در کشورهایی چون مالزی، تایلند، ویتنام و اندوزی بوده است، اما مشاهده شده که به دیگر مناطق جهان از جمله مصر، اتیوپی و افغانستان نیز حملاتی را انجام دادهاند.
بر اساس گفته محققان، این گروه بدافزاری قصد گسترش حملات خود را داشته و با تحقیقات عظیمی که بر روی ساخت این روتکیت انجام دادهاند میتوان گفت که آنها هدف ماندن در بازار بدافزاری را دارند و میبایست تدابیر ویژهای در خصوص پیشگیری و مبارزه با این گروه اندیشید.
