GhostEmperor：说中文的APT使用未知rootkit对知名受害者实施攻击

高级持续性威胁（APT）行为者在不断寻找新的以及更为复杂的施展攻击的手段。这也是为什么卡巴斯基研究人员要监控APT组织如何更新他们所使用的工具集的原因。根据卡巴斯基的季度报告，2021年第二季度，威胁领域见证了针对Microsoft Exchange服务器攻击的增长。在最新的2021年APT报告中，卡巴斯基披露了一个独特的长期的攻击行动“GhostEmperor”的详情，该攻击行动使用Microsoft Exchange漏洞，并使用先进的工具集对知名受害者进行攻击，而且这次攻击与任何已知的威胁行为者没有关联。

GhostEmperor是一个由卡巴斯基研究人员发现的说中文的威胁行为者。其攻击目标主要位于东南亚，包括多家政府实体和电信公司。

这个威胁行为者之所以突出，是因为它使用了一种之前未知的Windows内核模式的rootkit。Rootkit提供对其目标服务器的远程控制访问。rootkit行动隐蔽，以躲避调查人员和安全解决方案而臭名昭著。为了绕过Windows驱动签名执行机制，GhostEmperor使用了一种加载方案，该方案涉及名为“Cheat Engine”的开源项目的组件。这种先进的工具集是独一无二的，卡巴斯基研究人员认为它与已经知道的威胁者没有任何关联。卡巴斯基专家推测，该工具集至少自 2020年7月以来一直在使用。

“随着检测和保护技术不断发展，APT行为者也在不断发展。他们通常会刷新和更新他们的工具集。GhostEmperor是一个明显的例子，说明网络罪犯如何寻找新的技术和新的漏洞来加以利用。使用之前未知的复杂rootkit，他们给已经确立的针对 Microsoft Exchange 服务器的攻击趋势带来了新问题，”卡巴斯基安全专家David Emm评论说。

除了针对Microsoft Exchange服务器的攻击有所增长之外，卡巴斯基专家还发现2021年第二季度APT领域有以下趋势：

• APT威胁行为者利用漏洞在受攻击的网络中获得最初的立足点的情况有所增加——包括由漏洞利用程序开发者 “Moses” 开发的零日漏洞和PuzzleMaker、Pulse Secure攻击中使用的漏洞，此外还有Microsoft Exchange服务器漏洞
• APT威胁行为者继续投资以更新他们所使用的工具集：这不仅包括使用新的平台，还包括使用其他语言，例如WildPressure使用的支持macOS的Python恶意软件
• 尽管有些供应链攻击规模很大，引起了全球的关注，但卡巴斯基专家也观察到了同样成功的低技术攻击，例如BountyGlad、CoughingDOwn和针对Codecov的攻击，这表明低调的攻击活动仍然对安全造成重大威胁
  

想要了解更多有关GhostEmperor和本季度其他重要发现，请阅读Securelist上的20201年第二季度APT趋势报告。这份报告总结了卡巴斯基仅提供给订阅用于的威胁情报报告，其中还包括可复制进行取证分析和恶意软件追踪的感染迹象（IoC）和YARA规则。更多详情，请联系：intelreports@kaspersky.com

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员推荐采取以下措施：

• 让您的SOC团队可以访问最新的威胁情报（TI）。卡巴斯基威胁情报门户是该公司威胁情报的一站式访问点，提供卡巴斯基20多年来收集的网络攻击数据和洞察。用户可以免费访问其精选功能，检查文件、URL和IP地址。详情请点击这里
• 通过GReAT专家开发的卡巴斯基在线培训提升您的网络安全团队的技能，以应对最新的针对性威胁
• 为了实现端点界别的检测、调查和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应
• 除了部署基础端点保护之外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台
• 由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，请引入安全意识培训，并向你的团队传授实用技能——例如，通过卡巴斯基自动化安全意识平台实现这一点

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com .