Ny variant av trojan malware sätter din personliga information på risk
NanoCore RÅTTA kan stjäla lösenord, betalningsuppgifter, och i hemlighet spela in ljud och video för Windows-användare.
Platinum avancerade ihållande hot (APT) cyberattack gruppen har utvecklat en ny bakdörr med intressanta undanhållande tekniker.
Platina har varit spårade sedan 2012 och allmänt mål myndigheter, militär och politiska mål inom APAC regionen.
Under de senaste åren, hacka gruppen har blivit kopplad till användning av nya tekniker attack, såsom missbruk av en numera föråldrat Windows-funktion som kallas för snabbkorrigering och fileless kod distribution, samt steganografi för att dölja Powershell och exploit-kod i klartext.
Se också: Facebook har sällsynta domstolen vinna över integritet brott, investor fordringar
En tidigare bakdörr ansluten till Platinum använder text steganografi för att dölja kommando-och-kontroll (C2) kommunikation. Nu, APT verkar ha lagt till en ny bakdörr, dubbade Titan, till sin arsenal.
Uppkallad efter ett lösenord till en av sina arkiv, Titan “döljer sig på varje steg genom att härma gemensamma program” inklusive skydd-relaterade, ljud drivrutin och video-verktyg för att skapa, enligt Kaspersky forskare.
I attack kedjor spåras av laget, Platina kommer att använda Titan som den sista skedet av infektionen.
CNET: Lasrar kan till synes hacka Alexa, Google Hem och Siri
Varje exempel finns gällde användning av en exploatering för att köra kod som ett system-level användare och shellcode att hämta en extra dataöverföring. Platinum mål winlogon.exe men Kaspersky inte vet hur injektionen sker.
Utbyggnaden av en SFX-arkiv som innehåller en Windows task installationsskriptet är då på gång. Detta lösenord skyddad, krypterad arkivet har laddats ner via BITAR Downloader, och dess främsta uppgift är att installera en Windows uppgift att upprätthålla uthållighet.
Attacken kedjan kommer då att innebära lanseringen av ytterligare ett arkiv som innehåller ett installationsprogram, ett COM-objekt DLL, och Titan bakdörr själv. Titan ‘ s banor maskerad som en gemensam programvara för installationsprogrammet, till exempel för att skapa DVD-program eller en drivrutin för ljud, och bakdörr, kommer då att söka en anslutning till sitt C2 en gång utföras.
För att upprätta en anslutning med dess C2, Titan kommer att skicka en base64-kodad begäran innehåller ett system-ID, namn dator och hårddisken serienummer.
TechRepublic: Du har skadlig kod: Skadlig aktörer väntar i din inkorg
När pinga C2 för kommandon, skadlig kod kommer att besvaras med PNG-filer som innehåller steganographically dolda data, innehåller riktlinjer för den skadliga koden. Kommandon kan innehålla läsning systemfiler, ta bort innehåll, släppa och köra filer, kör kommandot line frågor och skicka resultaten till C2 och uppdatera konfigurationen önskemål.
Kaspersky är ovetande om någon av aktiva kampanjer för närvarande.
“Titan APT har en mycket komplicerad infiltration system. Det innebär flera steg och kräver god samordning mellan dem alla. Dessutom har ingen av filerna i filsystemet kan identifieras som skadlig på grund av användning av kryptering och fileless teknik,” forskarna säger. “En annan funktion som gör att upptäcka svårare är att imitera kända program.”
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter