pemoyr
Опытный user
- Регистрация
- 17 Окт 2019
- Сообщения
- 125
- Реакции
- 1
Список вредоносного ПО группировки APT-группы Platinum пополнился новым трояном с функциями бэкдора. Ему дали название Titanium, он позволяет злоумышленникам проникать в атакуемые системы и получать над ними полный контроль. Особенностью этого трояна является его возможность скрываться на самом видном месте. Titanium выдаёт себя за различные приложения для безопасности, звуковые драйверы или программы для записи DVD.
APT-группа Platinum работает с 2009 года, а её мишенями становятся правительственные предприятия, оборонные фирмы, спецслужбы, дипломатические миссии и телекоммуникационные компании в странах Южной и Юго-Восточной Азии.
По данным «Лаборатории Касперского», в ходе последней вредоносной кампании Platinum делает длинную цепь заражений, при которой используется несколько этапов загрузок и установок. Заключительным шагом является заражение атакуемой ОС бэкдором Titanium. Он загружается в память и включается посредством полезной нагрузки, используя технику обфускации через вызовы API Windows.
Чтобы наладить связь с C&C-сервером вирус отправляет закодированные с помощью base64 сообщения, в которых передаётся SystemID, имя компьютера и серия жесткого диска. Команды от сервера «прячутся» в PNG-файлах с применением стеганографии. Помимо этого, Titanium принимает команды о чтении и отправке на C&C-сервер любых файлов устройства. Также он может удалять, скачивать и запускать файлы, запускать командную строку и отсылать данные о выполнении на C&C-сервер, обновлять параметры конфигурации (за исключение ключа шифрования AES) и включать интерактивный режим. Этот режим даёт возможность злоумышленникам принимать входные данные от консольных программ и отправлять выходные данные на C&C-сервер.
При этом антивирусы не находят каких-либо подозрительных файлов на диске благодаря использованию шифрования и бесфайловых технологий.
APT-группа Platinum работает с 2009 года, а её мишенями становятся правительственные предприятия, оборонные фирмы, спецслужбы, дипломатические миссии и телекоммуникационные компании в странах Южной и Юго-Восточной Азии.
По данным «Лаборатории Касперского», в ходе последней вредоносной кампании Platinum делает длинную цепь заражений, при которой используется несколько этапов загрузок и установок. Заключительным шагом является заражение атакуемой ОС бэкдором Titanium. Он загружается в память и включается посредством полезной нагрузки, используя технику обфускации через вызовы API Windows.
Чтобы наладить связь с C&C-сервером вирус отправляет закодированные с помощью base64 сообщения, в которых передаётся SystemID, имя компьютера и серия жесткого диска. Команды от сервера «прячутся» в PNG-файлах с применением стеганографии. Помимо этого, Titanium принимает команды о чтении и отправке на C&C-сервер любых файлов устройства. Также он может удалять, скачивать и запускать файлы, запускать командную строку и отсылать данные о выполнении на C&C-сервер, обновлять параметры конфигурации (за исключение ключа шифрования AES) и включать интерактивный режим. Этот режим даёт возможность злоумышленникам принимать входные данные от консольных программ и отправлять выходные данные на C&C-сервер.
При этом антивирусы не находят каких-либо подозрительных файлов на диске благодаря использованию шифрования и бесфайловых технологий.
