Új trükkök Windows alatt
A Linux-verzióval szemben a Windowsos variáns kernelszintű rejtési módszereket alkalmaz, amelyek lehetővé teszik az operátoroknak, hogy elrejtsék a vírus nyomait, valamint tetszőleges TCP-portokról átirányítsák a forgalmat a hátsókapuhoz. Két fő változata ismert: a fejlettebb WIN_DRV rootkitet használ, míg a könnyebb WIN_PLUS elsősorban egy egyszerűbb hátsókapu. Képesek TCP-, UDP- és WebSocket-kommunikációra, több mint 30 távoli vezérlési parancsot támogatnak, rendszerinformációkat gyűjtenek, kezelik a futó folyamatokat, fájlműveleteket végeznek, illetve billentyűleütéseket és vágólaptartalmat is naplóznak.
Lényeges hangsúlyozni, hogy a rejtőzködés mesterei
A WIN_DRV különleges képessége, hogy egy RawWNPF nevű meghajtót tud memóriából betölteni, amelyet egy másik, kiszivárgott tanúsítvánnyal aláírt kernel-illesztőprogram tölt be. Ez a megoldás lehetővé teszi a folyamatok, hálózati kapcsolatok, fájlok és rejtett rendszerleíró kulcsok elfedését. Folyamatos jelenlétüket időzített feladatokkal és a Windows rendszerleíró adatbázisát érintő speciális trükkökkel biztosítják.
Újfajta kommunikáció és trükkös perzisztencia
A későbbiekben a TCP-forgalom speciális átvizsgálása révén a támadók rejtett csatornán kommunikálhatnak a hátsókapuval, így nem fedik fel annak tényleges portját. Az ESET kutatói arra is utalnak, hogy egyes jelek szerint UEFI-bootkitet is használnak, amely egy ismert Secure Boot hibát (CVE-2023-24932) alkalmazhat, hasonlóan a hírhedt BlackLotus kártevőhöz (BlackLotus malware), de erre továbbra sincs megalapozott bizonyíték.
Folyamatosan bővülő repertoár
Bár ezek a Windows-változatok nem számítanak teljesen újnak, az új funkciók azt mutatják, hogy az Earth Lusca csoport egyre változatosabb rendszereket képes támadni, miközben a védelem kijátszására egyre kifinomultabb módszereket vet be.
