【安全资讯】GhostEmperor组织针对东南亚实体的持续攻击活动遭披露

7月29日，卡巴斯基披露了一项独特、持续的攻击活动，攻击者主要针对东南亚目标的政府实体和电信公司。调查发现，这是一项长期存在的活动，专门瞄准广受关注的受害者、先进的工具集并且与已知的威胁参与者没有关联，因此研究人员将攻击活动背后的组织命名为“GhostEmperor”。GhostEmperor利用 Microsoft Exchange 漏洞，并使用了一个未知的rootkit 和一个复杂的多阶段恶意软件框架，旨在提供对受攻击服务器的远程控制。

GhostEmperor组织主要以东南亚的政府实体和电信公司为目标，使用了以前未知的 Windows 内核模式 rootkit。Rootkit 提供对其目标服务器的远程控制访问，可以躲避调查人员和安全解决方案。为了绕过 Windows 驱动程序签名强制机制，GhostEmperor 使用了一种加载方案，该方案包含名为“Cheat Engine”的开源项目的内核模式组件，以绕过 Windows 驱动程序签名强制机制。研究人员推测，该工具集至少从 2020 年 7 月开始使用。

研究人员表示，随着检测和保护技术的发展，APT 参与者也在不断发展，他们通常会更新和升级工具集。GhostEmperor 是网络犯罪分子寻找要使用的新技术和要利用的新漏洞的一个明显例子，他们使用以前未知的、复杂的 rootkit，给已经确立的针对 Microsoft Exchange 服务器的攻击趋势带来了新的威胁。