Китайцы создали вирус для Windows 10, который сохраняется даже после переустановки системы
Специалисты Kaspersky Lab рассказал о новой китайской хакерской группе, которая атаковала высокопоставленные лица в Юго-Восточной Азии как минимум с июля 2020 года. Она использовала очень сложные инструменты, которые могли работать с Windows 10.
Группу назвали GhostEmperor. Хакеры часто пытались получить долгосрочный доступ к компьютерам жертв через руткит, способный работать на Windows 10. Вредоносному удавалось оставаться незамеченным месяцы.
Специалисты выяснили, что хакеры использовали эксплойты для серверов Apache, Oracle и Microsoft Exchange, чтобы взломать сети, близкие к целевой. Затем группа переключилась на более чувствительные системы внутри сети жертвы. GhostEmperor использовал набор различных скриптов и инструментов для развертывания бэкдоров в целевой сети. Бэкдоры затем применялись для загрузки инструмента Cheat Engine. Это помогало обходить функции безопасности Windows PatchGuard и устанавливать руткит в ОС.
Исследователи заявили, что руткит, получивший название Demodex, был чрезвычайно продвинутым и позволял группе сохранять доступ к устройству жертвы даже после переустановки системы.
Специалисты "Лаборатории Касперского" не раскрыли, на кого именно охотилась группа. Они сказали лишь, что GhostEmperor преследовала правительственные учреждения и телекоммуникационные компании в Юго-Восточной Азии (Малайзия, Таиланд, Вьетнам и Индонезия), а также в Египте, Афганистане и Эфиопии.
