Ny variant af trojan, malware og sætter dine personlige oplysninger i fare
NanoCore ROTTE kan stjæle passwords, betalingsoplysninger, og hemmeligt at optage lyd og video med Windows-brugere.
Platinum advanced persistent threat (APT) cyberattack gruppe har udviklet en ny bagdør med interessante fortielse teknikker.
Platin er blevet sporet siden 2012 og generelt mål, offentlige, militære og politiske mål på tværs af APAC-regionen.
I de seneste år, hacking gruppen er blevet knyttet til brug af nye angreb teknikker, såsom misbrug af en nu forældet Windows-funktion, der kaldes hotpatching og fileless kode implementering, samt steganografi at skjule Powershell og udnytte kode i ren tekst.
Se også: Facebook har sjældent ret, at vinde over sikkerhedsbrud, investor krav
En tidligere bagdør tilsluttet Platinum bruger tekst steganografi at skjule command-and-control (C2) kommunikation. Nu, APT ser ud til at have tilføjet en ny bagdør, døbt Titanium, til sit arsenal.
Opkaldt efter en adgangskode til en af sine arkiver, Titanium “huder ved hvert skridt ved at efterligne fælles software”, herunder vedrørende beskyttelse, lyd driver-software, og video-værktøjer, ifølge Kaspersky forskere.
I angrebet kæder sporet af det team, Platin, vil implementere Titanium som er det sidste stadium af infektion.
CNET: Lasere kan tilsyneladende hack Alexa, Google Hjem og Siri
Hvert eksempel fandt indebar brug af en exploit til at udføre kode, som et system-niveau, brugeren og shellcode at hente en ekstra downloader. Platinum mål winlogon.exe men Kaspersky ikke ved, hvordan injektionen opstår.
Indsættelse af et SELVUDPAKKENDE arkiv, der indeholder en Windows task installations-script, er så i gang. Dette password-beskyttet og krypteret arkiv er downloadet via BITS Downloader, og dens vigtigste opgave er at installere en Windows opgave at vedligeholde vedholdenhed.
Angrebet kæde derefter vil omfatte lanceringen af en yderligere arkiv, der indeholder et installationsprogram, et COM-objekt DLL, og Titanium bagdør selv. Titanium er stier alle maskerade som en fælles software installer, såsom DVD-oprettelsessoftware eller som en audio driver, og bagdør vil derefter søge en forbindelse til sin C2 når henrettet.
At etablere en forbindelse med sine C2, Titanium vil sende en base64-kodet anmodning, der indeholder et system ID, navn på computeren, og harddisken ‘ s serienummer.
TechRepublic: Du har fået malware: Ondsindede aktører, der venter i din indbakke
Når pinge C2 kommandoer, malware vil blive besvaret med PNG-filer, der indeholder steganographically skjulte data, som indeholder retningslinjer for den skadelige kode. Kommandoer kan omfatte læsning systemfiler, at slette indhold, droppe og udførelse af filer, kører kommandolinjen forespørgsler og sende resultaterne til C2, og opdatere konfigurationen anmodninger.
Kaspersky er uvidende om eventuelle aktive kampagner, på nuværende tidspunkt.
“Titanium APT er en meget kompliceret infiltration ordningen. Det involverer mange trin og kræver god koordinering mellem dem alle. Hertil kommer, at ingen af de filer i filsystemet kan blive opdaget som skadelig på grund af brug af kryptering og fileless teknologier,” siger forskerne. “En anden funktion, som gør afsløring sværere er det at efterligne kendte software.”
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre