APT-группа Platinum обзавелась «невидимым» бэкдором

3

Киберпреступники руководствуются принципом «если хочешь что-то спрятать, прячь на видном месте».

В арсенале APT-группы Platinum появился новый троян с функциями бэкдора под названием Titanium, позволяющий киберпреступникам проникать в атакуемые системы и получать над ними полный контроль. Отличительной чертой Titanium является его способность прятаться на самом видном месте. В частности, троян маскируется под решения безопасности, аудиодрайверы или ПО для записи DVD.

Группировка Platinum (TwoForOne по версии «Лаборатории Касперского») активна с 2009 года, а ее целями являются правительственные организации, оборонные предприятия, спецслужбы, дипломатические миссии и телекоммуникационные компании в странах Южной и Юго-Восточной Азии.

Как с ообщает «Лаборатория Касперского», в рамках новой вредоносной кампании группировка использует длинную цепочку заражений, включающую в себя несколько этапов загрузок и установок, и финальным этапом является инфицирование атакуемой системы бэкдором Titanium. Данный бэкдор загружается в память и запускается с помощью загрузчика полезной нагрузки, использующего технику обфускации через вызовы API Windows.

Для установки связи с C&C-сервером Titanium отправляет зашифрованные с помощью base64 запросы, содержащие SystemID, имя компьютера и серийный номер жесткого диска. Команды от сервера «прячутся» в PNG-файлах с использованием стеганографии. Среди прочих, вредонос получает команды читать и отправлять на C&C-сервер любые файлы файловой системы, удалять, загружать и запускать файлы файловой системы, запускать командную строку и отправлять результаты выполнения на C&C-сервер, обновлять параметры конфигурации (за исключение ключа шифрования AES) и включать интерактивный режим. Это режим позволяет атакующему получать входные данные от консольных программ и отправлять выходные данные на C&C-сервер.

Антивирусные решения не детектируют никаких вредоносных файлов в файловой системе из-за использования шифрования и бесфайловых технологий.

Источник