FortiGuard Labs è a conoscenza di una backdoor appena scoperta soprannominata Daxin. Scoperta da Symantec, questa backdoor consente a un utente malintenzionato di raccogliere ed eseguire varie azioni di comando e controllo ed esfiltrazione di dati sui computer delle vittime. Grazie alla nostra partnership con la Cyber Threat Alliance, ci è stato fornito degli IOC per creare in anticipo le protezioni Fortinet in modo che fosse pronto per l’annuncio di oggi. Ciò che separa questa backdoor da molte altre è che Daxin è un driver a livello di kernel di Windows, detti anche rootkit. I rootkit a livello di kernel operano sull’anello 0, che consente loro di operare a
i più alti privilegi del sistema operativo impunemente. Ciò che rende questa minaccia pericolosa e molto efficace è che è in grado di sfruttare i servizi esistenti e utilizzarli per eseguire tutto ciò che è necessario senza destare sospetti da parte degli amministratori di rete e/o del software di sicurezza degli endpoint. Daxin non contiene alcuna capacità unica di altre backdoor; tuttavia, oltre alla sua capacità di funzionare a livello di kernel, Daxin può anche intercettare le connessioni TCP/IP in tempo reale per un’ulteriore evasione. Ulteriori comunicazioni rilevate sono state l’uso di uno stack TCP/IP personalizzato per comunicare in più nodi su reti altamente protette. Questa backdoor è stata attribuita ad attori di minacce cinesi sponsorizzati dallo stato, i cui obiettivi sono organizzazioni di interesse per il governo cinese. I sistemi sono stati presi di mira? Sistemi operativi Windows. Qual è la probabilità di sfruttamento? Bassa. Ciò è dovuto al fatto che gli attacchi osservati sono focalizzati sugli interessi specifici degli attori delle minacce dietro Daxin e non come parte di un attacco diffuso. È limitato agli attacchi mirati? Sì, tutti gli attacchi osservati erano limitati a obiettivi sponsorizzati dallo stato. Ciò includeva anche organizzazioni governative di interesse, telecomunicazioni, trasporti e settore manifatturiero. Qual è lo stato della copertura? I clienti che eseguono le definizioni AV più recenti sono protetti dalle seguenti firme: W32/Agent.FF56!tr.bdrW32/Backdoor.DAXIN !trW32/PossibleThreatW64/Agent.FF56!tr.bdrW64/Backdoor.DAXIN!trW64/Agent.QWHWSZ!trMalicious_Behavior.SBW32/Exforel.B!tr.bdrDx.BG3D!trW64/Agent.WT!trW32/PossibleThreat
