卡巴斯基发现 | 一个新的威胁攻击者GhostEmperor

卡巴斯基发现了一个新的威胁攻击者，跟踪为 GhostEmperor，它针对 Microsoft Exchange 漏洞进行攻击，针对知名受害者。

该集团开展的长期业务主要针对东南亚的实体，包括几家政府实体和电信公司。 

GhostEmperor 使用的加载方案依赖于 Cheat Engine 开源项目的一个组件，这使它能够绕过 Windows 驱动程序签名强制机制。

“该组织之所以脱颖而出，是因为它使用了以前未知的 Windows 内核模式 rootkit。Rootkit 提供对其目标服务器的远程控制访问。隐蔽地行动，rootkit 以躲避调查人员和安全解决方案而臭名昭著。绕过Windows驱动程序签名执法机制，GhostEmperor使用涉及名为开源项目的一个组成部分的装载方案“作弊引擎。””读宣布卡巴斯基“这个先进的工具集是唯一的，卡巴斯基研究人员认为，没有相似性已经发布已知的威胁行为者。卡巴斯基专家推测，该工具集至少自 2020 年 7 月以来一直在使用。”

专家发现的集群还采用了复杂的多阶段恶意软件框架，旨在提供对受攻击服务器的远程控制。

今年有多个威胁攻击者针对 Microsoft Exchange 漏洞，但是 GhostEmperor 操作与其他操作没有重叠。

“GhostEmperor 是网络犯罪分子如何寻找可使用的新技术和可利用的新漏洞的一个明显例子。使用以前未知的、复杂的 rootkit，他们给已经确立的针对 Microsoft Exchange 服务器的攻击趋势带来了新的问题，”卡巴斯基总结道。