otro sigiloso, Se ha descubierto la puerta trasera del rootkit utilizada para el espionaje. el software malicioso, apodado Daxin y Backdoor.Daxin, es capaz de llevar a cabo ataques contra redes reforzadas, dijeron los investigadores del equipo de Symantec Threat Hunter.
Una mirada a la puerta trasera de Daxin
Daxin se describe como una "pieza de malware altamente sofisticada utilizada por actores de amenazas vinculados a China". La herramienta ha estado exhibiendo una complejidad técnica nunca antes vista., y se ha utilizado en campañas de espionaje a largo plazo contra gobiernos específicos y organizaciones de infraestructura crítica.
Backdoor.Daxin permite a los actores de amenazas realizar operaciones sofisticadas de recopilación de datos contra objetivos de interés estratégico para China. De hecho, Daxin no es la única herramienta asociada con APT chino (Amenaza Persistente Avanzada) actores, descubierto en algunas de las computadoras infectadas a las que accedió Symantec.
Exactamente cuán sofisticado es Daxin?
“Daxin es sin duda la pieza de malware más avanzada que los investigadores de Symantec han visto utilizada por un actor vinculado a China.. Teniendo en cuenta sus capacidades y la naturaleza de sus ataques desplegados, Daxin parece estar optimizado para su uso contra objetivos endurecidos, Permitiendo a los atacantes penetrar profundamente en la red de un objetivo y filtrar datos sin levantar sospechas.,” de acuerdo a el informe.
Es evidente que el autor (actor de amenazas) invirtió un "esfuerzo significativo" para hacer que el malware fuera muy difícil de detectar. Es capaz de mezclarse con el tráfico normal de la red., mientras permanece invisible. Además, evita específicamente iniciar sus propios servicios de red, y en su lugar abusa de los servicios legítimos que ya se ejecutan en los sistemas comprometidos.
El malware también es capaz de hacer túneles en la red., haciendo posible que los actores de amenazas se comuniquen con servicios legítimos en el host infectado a los que se puede acceder desde cualquier computadora infectada. Sus otras capacidades maliciosas incluyen leer y escribir archivos arbitrarios, iniciar procesos arbitrarios e interactuar con ellos, secuestrar conexiones TCP/IP legítimas. También existe la capacidad de implementar componentes adicionales en el host comprometido.
Otras puertas traseras sofisticadas descubiertas recientemente
Otro malware de puerta trasera sofisticado descubierto recientemente es CalcetínDesvío, apuntando a contratistas de defensa con sede en EE. UU.. Los investigadores lo describen como una puerta trasera personalizada., que también puede actuar como una puerta trasera de respaldo en caso de que la principal se elimine del sistema comprometido. El análisis muestra que es difícil detectar, ya que funciona en un modo sin archivos y sin sockets en los servidores de Windows afectados.