Специалисты «Лаборатории Касперского» рассказали о бэкдоре Titanium, который APT-группировка Platinum использует в атаках на организации в Юго-Восточной Азии. Зловред получает команды через код, зашифрованный в PNG-изображениях, и может манипулировать файлами на инфицированном компьютере. Для доставки основной полезной нагрузки в целевую систему проводится многоэтапная атака с применением шелл-кода и утилиты для создания задач в планировщике Windows.

Как бэкдор Titanium попадает на целевое устройство

Как выяснили ИБ-аналитики Kaspersky, первоначальное заражение производится через веб-ресурсы, ориентированные на посетителей из Индонезии, Вьетнама и Малайзии.

На первом этапе в системный процесс winlogon.exe внедряется шелл-код, который скачивает и распаковывает загрузчик. Последний представляет собой зашифрованный SFX-архив, декодируемый при помощи вшитого пароля.

Загрузчик связывается с командным сервером и скачивает зашифрованную полезную нагрузку. Вредоносная программа способна обрабатывать объекты различных типов и запускать как исполняемые файлы, так и DLL-библиотеки. Для доставки бэкдора дроппер использует системную службу Windows Background Intelligent Transfer Service (BITS), а также модуль IBackgroundCopyManager.

В зависимости от аргументов, полученных из центра управления, загрузчик может собрать и отправить киберпреступникам информацию об антивирусных продуктах, установленных на инфицированном компьютере. После доставки бэкдора загрузчик самоликвидируется.

Исследователи подчеркивают, что шифрование компонентов зловреда и бесфайловые методы запуска затрудняют его обнаружение антивирусными сканерами. Кроме того, чтобы обмануть средства защиты, киберпреступники используют каталоги и названия файлов легитимного ПО.

Возможности бэкдора Titanium

Троян маскируется под легитимную программу для создания DVD-видео или приложение для настройки звуковых драйверов. За установку бэкдора отвечает специальный скрипт, который при помощи бесплатной утилиты c URL добавляет вредоносный процесс в планировщик задач Windows. Злоумышленники могут менять ход атаки через параметры сценария, подстраивая его действия под конкретную целевую систему.

Бэкдор отправляет командному серверу запрос, а в ответ получает PNG-файлы с зашифрованными в них командами. Киберпреступники используют стеганографию для внедрения кода в изображение. Как выяснили специалисты «Лаборатории Касперского», зловред способен читать, загружать, удалять и запускать любые файлы на зараженной машине, а также работать с командной строкой ОС.

APT-группировка Platinum существует не менее 10 лет. В 2016 году специалисты Microsoft выяснили, что киберпреступники используют редкие 0-day и легитимный инструмент HotPatching. При помощи системной утилиты Windows злоумышленники внедряли вредоносный код в запущенные процессы без перезагрузки компьютера. Ненадежная функция отсутствует в версиях ОС начиная с Windows 8.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры