Cửa hậu tàng hình mới được sử dụng bởi Platinum APT trong các cuộc tấn công gần đây

Cửa hậu tàng hình mới được sử dụng bởi Platinum APT trong các cuộc tấn công gần đây

Nhóm mối đe dọa dai dẳng (APT) được Microsoft theo dõi là Platinum đang sử dụng một phần mềm độc hại Trojan-backdoor tàng hình mới có tên Titanium để xâm nhập và kiểm soát các hệ thống của mục tiêu.

Điều khiến Titanium nổi bật là việc sử dụng các phương pháp khác nhau để ẩn trong tầm nhìn rõ ràng bằng cách ngụy trang như các giải pháp bảo mật, trình điều khiển âm thanh hoặc phần mềm thường được sử dụng để tạo DVD.

Bạch kim (cũng được theo dõi là Hai vì một bởi Kaspersky) đã hoạt động ít nhất từ ​​năm 2009 tại khu vực APAC, nhắm mục tiêu "các tổ chức chính phủ, viện quốc phòng, cơ quan tình báo, tổ chức ngoại giao và nhà cung cấp viễn thông ở Nam và Đông Nam Á", theo Microsoft.

Microsoft cũng phát hiện ra vào năm 2017 rằng Platinum bắt đầu sử dụng kênh Nối tiếp mạng LAN (SOL) của Intel Active Management Technology (AMT) để liên lạc, do đó trốn tránh giám sát giao thông thông thường và lọc giải pháp chạy các thiết bị bị xâm nhập.

Là một phần của chiến dịch Titanium, Platinum đã sử dụng chuỗi lây nhiễm gồm nhiều bước, sử dụng một số giai đoạn tải xuống, thả và cài đặt để lây nhiễm nạn nhân từ Nam và Đông Nam Á với tải trọng cửa sau cuối cùng như các nhà nghiên cứu tại Tìm thấy Kaspersky trong quá trình phân tích gần đây.

Các quốc gia được nhắm mục tiêu "height =" 387 "width =" 487 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / Targeted country.png "class =" b-lazy "/><strong>Các nước mục tiêu </strong>(Kaspersky)</figure><h2>Quá trình lây nhiễm</h2><p>Nhóm hack đã sử dụng nhiều cổ vật trong các cuộc tấn công này, với mỗi nhóm sử dụng trình tự phân phối cụ thể sau:</p><div class='code-block code-block-6' style='margin: 8px auto; text-align: center; display: block; clear: both;'><div align=

• khai thác có khả năng thực thi mã với tư cách là người dùng HỆ THỐNG
• shellcode để tải xuống trình tải xuống tiếp theo
• trình tải xuống để tải xuống kho lưu trữ SFX có chứa Windows kịch bản cài đặt tác vụ
• kho lưu trữ SFX được bảo vệ bằng mật khẩu với trình cài đặt Trojan-backdoor
• tập lệnh cài đặt (ps1)
• một đối tượng COM DLL (trình tải)
• chính cửa hậu Trojan

Platinum rõ ràng sử dụng các trang web mạng nội bộ địa phương để cung cấp các tạo phẩm độc hại trong quá trình lây nhiễm hoặc mã hóa được đưa vào quy trình hệ thống thông qua một phương pháp chưa được biết đến theo nhóm nghiên cứu của Kaspersky.

Mục đích duy nhất của shellcode là đạt được chỗ đứng ban đầu trên máy của mục tiêu bằng cách tải xuống các tải trọng được mã hóa từ một máy chủ chỉ huy và kiểm soát, giải mã chúng và khởi chạy tải trọng tiếp theo trong chuỗi lây nhiễm.

Giao tiếp Titanium C2 "height =" 119 "width =" 696 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / Titanium C2 Communication.png "class =" b -lazy "/><strong>Truyền thông Titan C2</strong> (Kaspersky)</figure><p>Sau khi thỏa hiệp một hệ thống, phần mềm độc hại sẽ trải qua các bước khác cần thiết để giảm tải trọng cuối cùng, tải xuống các tệp mà nó cần bằng cách sử dụng Windows Dịch vụ chuyển nền thông minh (BITS) và sử dụng công cụ cURL hợp pháp để liên lạc với máy chủ C2.</p><div class='code-block code-block-7' style='margin: 8px auto; text-align: center; display: block; clear: both;'><div align=