Un altro furtivo, La backdoor rootkit usata per lo spionaggio è stata scoperta. il malware, soprannominato Daxin e Backdoor.Daxin, è in grado di eseguire attacchi contro reti rinforzate, hanno affermato i ricercatori del team Symantec Threat Hunter.
Uno sguardo alla backdoor di Daxin
Daxin è descritto come un "pezzo di malware altamente sofisticato utilizzato da attori di minacce collegati alla Cina". Lo strumento ha mostrato una complessità tecnica mai vista prima, ed è stato utilizzato in campagne di spionaggio a lungo termine contro governi specifici e organizzazioni di infrastrutture critiche.
Backdoor.Daxin consente agli attori delle minacce di eseguire sofisticate operazioni di raccolta di dati contro obiettivi di interesse strategico per la Cina. Infatti, Daxin non è l'unico strumento associato all'APT cinese (Advanced Persistent Threat) attori, scoperto su alcuni dei computer infetti a cui Symantec ha avuto accesso.
Esattamente quanto è sofisticato Daxin?
“Daxin è senza dubbio il malware più avanzato che i ricercatori Symantec abbiano visto utilizzato da un attore legato alla Cina. Considerando le sue capacità e la natura dei suoi attacchi implementati, Daxin sembra essere ottimizzato per l'uso contro bersagli rinforzati, consentendo agli aggressori di scavare in profondità nella rete di un bersaglio ed esfiltrare i dati senza destare sospetti,” secondo il rapporto.
È evidente che l'autore (attore di minacce) investito "sforzo significativo" per rendere il malware molto difficile da rilevare. È in grado di integrarsi con il normale traffico di rete, pur rimanendo invisibile. Inoltre, evita in particolare di avviare i propri servizi di rete, e invece abusa di servizi legittimi già in esecuzione sui sistemi compromessi.
Il malware è anche in grado di eseguire il tunneling di rete, consentendo agli attori delle minacce di comunicare con servizi legittimi sull'host infetto a cui è possibile accedere da qualsiasi computer infetto. Le sue altre capacità dannose includono la lettura e la scrittura di file arbitrari, avviare processi arbitrari e interagire con essi, dirottare connessioni TCP/IP legittime. C'è anche la possibilità di distribuire componenti aggiuntivi sull'host compromesso.
Altre backdoor sofisticate scoperte di recente
Un altro sofisticato malware backdoor scoperto di recente è SockDetour, prendendo di mira gli appaltatori della difesa con sede negli Stati Uniti. I ricercatori lo descrivono come una backdoor personalizzata, che può fungere anche da backdoor di backup nel caso in cui quella primaria venga rimossa dal sistema compromesso. L'analisi mostra che è difficile da rilevare, poiché opera in modalità fileless e socketless sui server Windows interessati.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: