Tin tức và phân tích của tất cả các thiết bị di động

Cửa hậu tàng hình mới được sử dụng bởi Platinum APT trong các cuộc tấn công gần đây

Cửa hậu tàng hình mới được sử dụng bởi Platinum APT trong các cuộc tấn công gần đây

Nhóm mối đe dọa dai dẳng (APT) được Microsoft theo dõi là Platinum đang sử dụng một phần mềm độc hại Trojan-backdoor tàng hình mới có tên Titanium để xâm nhập và kiểm soát các hệ thống của mục tiêu.

Điều khiến Titanium nổi bật là việc sử dụng các phương pháp khác nhau để ẩn trong tầm nhìn rõ ràng bằng cách ngụy trang như các giải pháp bảo mật, trình điều khiển âm thanh hoặc phần mềm thường được sử dụng để tạo DVD.

Bạch kim (cũng được theo dõi là Hai vì một bởi Kaspersky) đã hoạt động ít nhất từ ​​năm 2009 tại khu vực APAC, nhắm mục tiêu "các tổ chức chính phủ, viện quốc phòng, cơ quan tình báo, tổ chức ngoại giao và nhà cung cấp viễn thông ở Nam và Đông Nam Á", theo Microsoft.

Microsoft cũng phát hiện ra vào năm 2017 rằng Platinum bắt đầu sử dụng kênh Nối tiếp mạng LAN (SOL) của Intel Active Management Technology (AMT) để liên lạc, do đó trốn tránh giám sát giao thông thông thường và lọc giải pháp chạy các thiết bị bị xâm nhập.

Là một phần của chiến dịch Titanium, Platinum đã sử dụng chuỗi lây nhiễm gồm nhiều bước, sử dụng một số giai đoạn tải xuống, thả và cài đặt để lây nhiễm nạn nhân từ Nam và Đông Nam Á với tải trọng cửa sau cuối cùng như các nhà nghiên cứu tại Tìm thấy Kaspersky trong quá trình phân tích gần đây.

Các quốc gia được nhắm mục tiêu "height =" 387 "width =" 487 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / Targeted country.png "class =" b-lazy "/><strong>Các nước mục tiêu </strong>(Kaspersky)</figure><h2>Quá trình lây nhiễm</h2><p>Nhóm hack đã sử dụng nhiều cổ vật trong các cuộc tấn công này, với mỗi nhóm sử dụng trình tự phân phối cụ thể sau:</p><div class='code-block code-block-4' style='margin: 8px auto; text-align: center; display: block; clear: both;'><style>.ai-rotate {position: relative;} .ai-rotate-hidden {visibility: hidden;} .ai-rotate-hidden-2 {position: absolute; top: 0; left: 0; width: 100%; height: 100%;} .ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback, .ai-list-block, .ai-list-block-ip, .ai-list-block-filter {visibility: hidden; position: absolute; width: 50%; height: 1px; top: -1000px; z-index: -9999; margin: 0px!important;} .ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback {min-width: 1px;}</style><div class='ai-rotate ai-unprocessed ai-timed-rotation ai-4-2' data-info='WyI0LTIiLDJd' style='position: relative;'><div class='ai-rotate-option' style='visibility: hidden;' data-index=

• khai thác có khả năng thực thi mã với tư cách là người dùng HỆ THỐNG
• shellcode để tải xuống trình tải xuống tiếp theo
• trình tải xuống để tải xuống kho lưu trữ SFX có chứa Windows kịch bản cài đặt tác vụ
• kho lưu trữ SFX được bảo vệ bằng mật khẩu với trình cài đặt Trojan-backdoor
• tập lệnh cài đặt (ps1)
• một đối tượng COM DLL (trình tải)
• chính cửa hậu Trojan

Platinum rõ ràng sử dụng các trang web mạng nội bộ địa phương để cung cấp các tạo phẩm độc hại trong quá trình lây nhiễm hoặc mã hóa được đưa vào quy trình hệ thống thông qua một phương pháp chưa được biết đến theo nhóm nghiên cứu của Kaspersky.

Mục đích duy nhất của shellcode là đạt được chỗ đứng ban đầu trên máy của mục tiêu bằng cách tải xuống các tải trọng được mã hóa từ một máy chủ chỉ huy và kiểm soát, giải mã chúng và khởi chạy tải trọng tiếp theo trong chuỗi lây nhiễm.

Giao tiếp Titanium C2 "height =" 119 "width =" 696 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / Titanium C2 Communication.png "class =" b -lazy "/><strong>Truyền thông Titan C2</strong> (Kaspersky)</figure><div class='code-block code-block-5' style='margin: 8px auto; text-align: center; display: block; clear: both;'><style>.ai-rotate {position: relative;} .ai-rotate-hidden {visibility: hidden;} .ai-rotate-hidden-2 {position: absolute; top: 0; left: 0; width: 100%; height: 100%;} .ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback, .ai-list-block, .ai-list-block-ip, .ai-list-block-filter {visibility: hidden; position: absolute; width: 50%; height: 1px; top: -1000px; z-index: -9999; margin: 0px!important;} .ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback {min-width: 1px;}</style><div class='ai-rotate ai-unprocessed ai-timed-rotation ai-5-2' data-info='WyI1LTIiLDJd' style='position: relative;'><div class='ai-rotate-option' style='visibility: hidden;' data-index=

Sau khi thỏa hiệp một hệ thống, phần mềm độc hại sẽ trải qua các bước khác cần thiết để giảm tải trọng cuối cùng, tải xuống các tệp mà nó cần bằng cách sử dụng Windows Dịch vụ chuyển nền thông minh (BITS) và sử dụng công cụ cURL hợp pháp để liên lạc với máy chủ C2.

Tải trọng Titanium sẽ được tải vào bộ nhớ và được khởi chạy bằng trình tải trọng tải sử dụng nhiều chức năng che giấu thông qua Windows Các lệnh gọi và vòng lặp API để "bỏ qua một số công cụ mô phỏng AV đơn giản."

Để bắt đầu luồng lệnh máy chủ C2, Titanium gửi "yêu cầu được mã hóa base64 chứa một SystemID duy nhất, tên máy tính và số sê-ri đĩa cứng. Sau đó, phần mềm độc hại bắt đầu nhận lệnh."

Backdoor đi kèm với một chế độ tương tác

Các lệnh nhận được là dữ liệu ẩn theo tiêu chuẩn trong các tệp PNG và chúng cho phép kẻ tấn công thực hiện một loạt các nhiệm vụ bao gồm nhưng không giới hạn ở:

• Đọc bất kỳ tệp nào từ một hệ thống tệp và gửi nó đến C & C
• Thả hoặc xóa một tập tin trong hệ thống tập tin
• Thả tập tin và chạy nó
• Chạy một dòng lệnh và gửi kết quả thực hiện đến C & C
• Cập nhật các tham số cấu hình (ngoại trừ khóa mã hóa AES)
• Chế độ tương tác – cho phép kẻ tấn công nhận đầu vào từ các chương trình điều khiển và gửi đầu ra của chúng tại C & C

Kế hoạch xâm nhập được sử dụng bởi nhóm Platinum APT để lây nhiễm nạn nhân của họ "bao gồm nhiều bước và đòi hỏi sự phối hợp tốt giữa tất cả bọn họ", Kaspersky kết luận.

"Ngoài ra, không có tệp nào trong hệ thống tệp có thể bị phát hiện là độc hại do sử dụng mã hóa và công nghệ không mã hóa."