Unul dintre cele mai avansate grupuri de hackeri din lume lansează noul backdoor Titanium

Unul dintre cele mai avansate grupuri de hacking din lume are un backdoor nou, la fel de sofisticat ca și creatorii săi.

Supranumit Titaniu de cercetătorii de securitate Kaspersky Lab care l-au descoperit, malware-ul este sarcina utilă finală livrată într-o secvență lungă și convolută de atac. Lanțul de atac folosește o serie de trucuri inteligente pentru a sustrage protecția antivirus. Aceste trucuri includ criptarea, imitarea de drivere și dispozitive software comune, infecții numai din memorie și o serie de picuratori care execută codul rău intenționat o secvență cu mai multe etape. Un alt mijloc de a rămâne sub radar sunt datele ascunse furnizate steganografic într-o imagine PNG.

Denumit după o parolă folosită pentru criptarea unei arhive rău intenționate, Titanium a fost dezvoltat de Platinum, un așa-numit grup avansat de amenințări persistente, care se concentrează asupra regiunii Asia-Pacific, cel mai probabil în numele unei națiuni.

"Titanium APT are o schemă de infiltrare foarte complicată", au scris cercetătorii Kaspersky Lab într-o postare. „Aceasta implică numeroși pași și necesită o bună coordonare între toți. În plus, niciunul dintre fișierele din sistemul de fișiere nu poate fi detectat ca fiind răuvoitor din cauza utilizării tehnologiilor de criptare și fără fișiere. O altă caracteristică care îngreunează detectarea este imitarea de software binecunoscut. "

Titanium folosește mai multe metode diferite pentru a-și infecta inițial țintele și a se răspândi de la computer la computer. Unul este un intranet local care a fost deja compromis cu malware. Un alt vector este o arhivă SFX care conține o sarcină de instalare Windows. Un al treilea este codul shell care este injectat în procesul winlogon.exe (nu se știe încă cum se întâmplă acest lucru). Rezultatul final este o ușă spate sigură și completă, care poate:

  • Citiți orice fișier dintr-un sistem de fișiere și trimiteți-l către un server controlat de un atacator
  • Aruncați un fișier sau ștergeți-l din sistemul de fișiere
  • Aruncați un fișier și rulați-l
  • Rulați o linie de comandă și trimiteți rezultatele de execuție pe serverul de control al atacatorului
  • Actualizați parametrii de configurare (cu excepția cheii de criptare AES)

Platinum funcționează din cel puțin 2009, potrivit unui raport detaliat publicat de Microsoft în 2016. Grupul se concentrează în principal pe furtul proprietății intelectuale sensibile legate de interesele guvernamentale. Platina se bazează adesea pe phishingul de suliță și exploatările pentru o zi zero.

Interesant este că Kaspersky Lab afirmă că nu a reușit să depisteze niciun fel de activitate curentă legată de Titaniu. Nu este clar dacă acest lucru se datorează faptului că malware-ul nu este folosit sau dacă este prea greu să detecteze computerele infectate.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here