«Лаборатория Касперского» сообщает, что хак-группа Platinum, активная в Азиатско-Тихоокеанском регионе (APAC), вновь демонстрирует активность и новый инструмент — бэкдор, получивший название Titanium (таким паролем был зашифрован один из SFX-архивов, обнаруженный во время анализа).
Напомню, что APT Platinum была обнаружена специалистами компании Microsoft еще в 2016 году. Тогда сообщалось, что группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии.
Titanium — это финальный этап заражения в многоуровневой схеме установки трояна на атакуемую систему. Все этапы успешно скрываются на компьютере жертвы благодаря тому, что каждый из них выдает себя за популярное ПО (антивирусные продукты, утилиты из дистрибутива со звуковыми драйверами, программы для создания DVD-видео).
Как уже было сказано, Titanium представляет собой последовательность из нескольких этапов внедрения вредоносного ПО на компьютер жертвы, где конечным результатом атаки является троян-бэкдор. В каждом конкретном случае для осуществления атаки обычно используется следующий набор вредоносного ПО:
Для общения с управляющим сервером вредонос применяет стеганографию. Так, при формировании запроса к управляющему серверу используются параметр UserAgent из конфигурации и специальный алгоритм генерации cookie-строки. Также, малварь может использовать системные настройки прокси из Internet Explorer.
В ответ на этот запрос командный сервер отдает PNG-файл, который содержит спрятанные с помощью стеганографии данные. Эти данные зашифрованы тем же ключом, что используется в запросах управляющему серверу. Расшифрованные стеганографические данные содержат команды для бэкдора и аргументы к ним.
В итоге бэкдор может принимать множество различных команд, приводим только самые интересные из них:
Напомню, что APT Platinum была обнаружена специалистами компании Microsoft еще в 2016 году. Тогда сообщалось, что группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Карта зараженийTitanium — это финальный этап заражения в многоуровневой схеме установки трояна на атакуемую систему. Все этапы успешно скрываются на компьютере жертвы благодаря тому, что каждый из них выдает себя за популярное ПО (антивирусные продукты, утилиты из дистрибутива со звуковыми драйверами, программы для создания DVD-видео).
Как уже было сказано, Titanium представляет собой последовательность из нескольких этапов внедрения вредоносного ПО на компьютер жертвы, где конечным результатом атаки является троян-бэкдор. В каждом конкретном случае для осуществления атаки обычно используется следующий набор вредоносного ПО:
- эксплоит, позволяющий исполнять вредоносный код с правами SYSTEM;
- шеллкод, который должен загрузить на атакуемую систему следующий компонент схемы заражения;
- загрузчик, скачивающий защищенный паролем SFX-архив с командного сервера. Архив содержит файлы, необходимые для добавления задачи в планировщик задач Windows. Благодаря созданной задаче, зловред закрепляется в системе;
- защищенный паролем SFX-архив, содержащий установщик трояна-бэкдора;
- скрипт-установщик бэкдора в систему (PowerShell);
- DLL-библиотека COM-объекта (загрузчик бэкдора);
- собственно, сам троян-бэкдор (Titanium).
Для общения с управляющим сервером вредонос применяет стеганографию. Так, при формировании запроса к управляющему серверу используются параметр UserAgent из конфигурации и специальный алгоритм генерации cookie-строки. Также, малварь может использовать системные настройки прокси из Internet Explorer.
В ответ на этот запрос командный сервер отдает PNG-файл, который содержит спрятанные с помощью стеганографии данные. Эти данные зашифрованы тем же ключом, что используется в запросах управляющему серверу. Расшифрованные стеганографические данные содержат команды для бэкдора и аргументы к ним.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Примеры PNG-изображенийВ итоге бэкдор может принимать множество различных команд, приводим только самые интересные из них:
- чтение любого файла на компьютере жертвы и отправка его на управляющий сервер;
- загрузка (или удаление) файла на компьютер жертвы;
- загрузка и запуск файла;
- запуск командной строки с последующей отправкой результатов работы на управляющий сервер;
- обновление параметров конфигурации (кроме ключа шифрования трафика);
- интерактивный режим. Позволяет принимать от злоумышленника данные для ввода в консоль с отправкой результатов на сервер.