Nog een stiekeme, rootkit-achterdeur gebruikt voor spionage is ontdekt. de malware, genaamd Daxin en Backdoor.Daxin, is in staat aanvallen uit te voeren op geharde netwerken, zei Symantec Threat Hunter-teamonderzoekers.
Een kijkje in Daxin Backdoor
Daxin wordt beschreven als een "zeer geavanceerd stukje malware dat wordt gebruikt door aan China gelinkte bedreigingsactoren." De tool vertoont een voorheen ongeziene technische complexiteit, en is gebruikt in langdurige spionagecampagnes tegen specifieke regeringen en organisaties met kritieke infrastructuur.
Backdoor.Daxin stelt dreigingsactoren in staat om geavanceerde gegevensverzamelingsoperaties uit te voeren tegen doelen van strategisch belang voor China. In feite, Daxin is niet de enige tool die is gekoppeld aan Chinese APT (Advanced persistent threat) acteurs, ontdekt op enkele van de geïnfecteerde computers waar Symantec toegang toe had.
Hoe geavanceerd is Daxin precies?
“Daxin is zonder twijfel het meest geavanceerde stukje malware dat Symantec-onderzoekers hebben gezien door een aan China gelinkte acteur. Gezien de mogelijkheden en de aard van de ingezette aanvallen, Daxin lijkt te zijn geoptimaliseerd voor gebruik tegen geharde doelen, waardoor de aanvallers diep in het netwerk van een doelwit kunnen graven en gegevens kunnen exfiltreren zonder argwaan te wekken,” volgens het verslag.
Het is duidelijk dat de auteur (bedreigingsacteur) geïnvesteerd "aanzienlijke inspanning" om de malware zeer moeilijk te detecteren. Het kan opgaan in het normale netwerkverkeer, terwijl je ongezien blijft. Bovendien, het vermijdt specifiek het starten van zijn eigen netwerkdiensten, en in plaats daarvan misbruik maakt van legitieme services die al op de gecompromitteerde systemen draaien.
De malware is ook in staat tot netwerktunneling, waardoor het voor dreigingsactoren mogelijk wordt om te communiceren met legitieme services op de geïnfecteerde host die toegankelijk zijn vanaf elke geïnfecteerde computer. De andere kwaadaardige mogelijkheden omvatten het lezen en schrijven van willekeurige bestanden, willekeurige processen initiëren en ermee omgaan, het kapen van legitieme TCP/IP-verbindingen. Er is ook de mogelijkheid om extra componenten te implementeren op de gecompromitteerde host.
Andere recent ontdekte geavanceerde achterdeuren
Een andere recent ontdekte geavanceerde backdoor-malware is: SokOmweg, gericht op in de VS gevestigde defensie-aannemers. Onderzoekers beschrijven het als een aangepaste achterdeur, die ook kan dienen als backdoor voor het geval de primaire van het aangetaste systeem wordt verwijderd. Uit de analyse blijkt dat het moeilijk te detecteren is, omdat het werkt in een bestandsloze en socketloze modus op getroffen Windows-servers.