De nieuwe variant van de trojan malware zet uw persoonlijke gegevens in gevaar
NanoCore RAT kan stelen van wachtwoorden, betalingsgegevens, en in het geheim opnemen van audio en video van Windows-gebruikers.
De Platinum advanced persistent threat (APT) cyberaanval group heeft een nieuwe backdoor met interessante verzwijging technieken.
Platinum is bijgehouden sinds 2012 en over het algemeen de doelstellingen van de overheid, militaire en politieke doelstellingen in de APAC-regio.
In de afgelopen jaren, het hacken van de groep geworden is gekoppeld aan het gebruik van nieuwe aanval technieken, zoals het misbruik van een inmiddels verouderde Windows-functie genoemd hotpatching en fileless code-implementatie, evenals steganografie te verbergen Powershell en exploiteren code in de platte tekst.
Zie ook: Facebook heeft zelden hof winnen over privacy schending, investor claims
Een verleden backdoor verbonden met Platina gebruikt tekst van steganografie te verbergen command-and-control (C2) communicatie. Nu, de APT lijkt te hebben een nieuwe backdoor, genaamd Titanium, tot zijn arsenaal.
Vernoemd naar een wachtwoord aan één van haar archieven, Titanium “verbergt bij elke stap door het nabootsen van common software” met inbegrip van de bescherming in verband met, sound driver-software en video-creatie tools, volgens onderzoekers van Kaspersky.
In de aanval ketens bijgehouden door het team, Platinum implementeren Titanium als het laatste stadium van de infectie.
CNET: Lasers kunnen schijnbaar hack Alexa, Google Startpagina en Siri
Elk voorbeeld gevonden gepaard met het gebruik van een exploit voor het uitvoeren van code als een systeem-niveau van de gebruiker en shellcode te downloaden van een extra downloader. Platinum-doelen winlogon.exe maar Kaspersky niet weet hoe de injectie plaatsvindt.
De implementatie van een SFX-archief met een Windows task-installatie script wordt vervolgens aan de gang. Dit wachtwoord beveiligde, gecodeerde archief is gedownload via BITS Downloader, en zijn belangrijkste taak is om te installeren van een Windows taak tot het handhaven van persistentie.
De aanval keten zal dan om de lancering van een verdere archief bevat een installateur, een COM-object DLL, en de Titanium backdoor zelf. Titanium paden alle masquerade als een gemeenschappelijke software installer, zoals voor het maken van DVD-software of als een audio-stuurprogramma en de achterdeur zal dan zoeken naar een verbinding met de C2 een keer uitgevoerd.
Om een verbinding te maken met de C2, Titanium sturen een base64-gecodeerd verzoek met een systeem-ID, naam van de computer en de harde schijf het serienummer.
TechRepublic: Je hebt malware: Kwaadaardige acteurs staan te wachten in uw postvak
Bij het pingen van de C2 voor de opdrachten, de malware zullen worden beantwoord met PNG-bestanden met steganographically verborgen gegevens, met aanwijzingen voor de schadelijke code. Commando ‘s kunnen onder het lezen van het systeem bestanden, het verwijderen van inhoud, neerzetten en uitvoeren van bestanden, het uitvoeren van commando-regel-query’ s en het versturen van de resultaten bij de C2 en het bijwerken van de configuratie van de aanvragen.
Kaspersky is niet op de hoogte van alle actieve campagnes, op dit moment.
“De Titanium APT is een zeer ingewikkeld infiltratie regeling. Het gaat om een groot aantal stappen en vereist een goede coördinatie tussen alle van hen. Bovendien, geen van de bestanden in het bestandssysteem kan worden gedetecteerd als kwaadaardig te wijten aan het gebruik van encryptie en fileless technologieën,” zeggen de onderzoekers. “Een andere functie, dat maakt opsporing moeilijker is het nabootsen van de bekende software.”
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters