Platinum是亚太地区技术最先进的一类APT组织,于2016年被微软发现。该组织主要针对南亚和东南亚地区,对isp、政府机构、情报机构和国防机构进行鱼叉式网络钓鱼攻击,从攻击目标来看,黑客的动机似乎是国家机密而非金融勒索。
2018年6月,卡巴斯基的专家就注意到了Platinum组织对东南亚国家政府和军事实体的攻击,调查后发现,此次行动可能最早始于2012年。在今年6月,Platinum APT组织又被观察到使用隐写技术来隐藏与命令和控制服务器(C&C)的通信。
最近,卡巴斯基实验室发现了Platinum使用的一类新型后门——Titanium,借由它攻击者可以穿透并控制目标系统。Titanium使用了许多加密和无文件技术,还伪装成了各类合法程序,很难被防火墙或杀毒软件检测到。此木马可以从文件系统中窃取、植入或删除文件,并将文件发送到C&C服务器。
卡巴斯基表示,Titanium的植入和安装过程很复杂且隐蔽。恶意软件通过模仿正规软件,比如安全产品、声音和视频处理软件等,层层侵入,最终在受害者计算机上安装Titanium木马后门。
涉事地区依然发生在南亚和东南亚,如下图所示。
专家指出,常规攻击链关键在于以下几点:能够以SYSTEM用户身份执行代码的漏洞、下载下一阶段下载器的shellcode、下载包含Windows任务安装脚本的SFX存档的下载程序、有密码的木马后门安装程序的SFX存档、安装程序脚本(ps1)、COM对象DLL(加载程序),以及作为最终阶段恶意软件的Titanium后门本身。
卡巴斯基发现的每个样本都涉及到作为系统级用户执行代码的漏洞利用,以及使用shellcode下载额外的下载程序。专家推测,Titanium的后门是通过本地内网站点提供的,这些站点已经被破坏了,或者使用了需要注入到进程中的shellcode,在前一种情况下,shellcode被注入到winlogon.exe中但其注入机制仍不清楚。
后门部署了一个包含Windows任务安装脚本的SFX存档。通过BITS Downloader下载一个加密档案文件,恶意代码使用它来安装Windows任务以允许后门获得持久性。BITS Downloader 还能从C&C服务器下载、解密并启动加密文件。后门的路径都伪装成通用的软件安装程序,比如DVD创作软件或音频驱动程序。
为了初始化与C&C的连接,恶意代码会发送base64编码的请求,其中包括唯一的SystemID,计算机名称和硬盘序列号。之后,恶意软件开始接收命令。
后门从配置中获取UserAgent字符串,并使用特殊的cookie生成算法来准备请求。然后C&C发回一个PNG文件,该文件包含隐藏数据。该C2使用与C&C请求相同的密钥加密数据,数据包括后门命令和相关参数。
该恶意软件还可以从Internet Explorer获取代理设置。
后门支持许多命令,包括:
·从文件系统读取任何文件并将其发送到C&C
·植入或删除文件系统中的文件
·植入文件并运行
·运行命令行并将执行结果发送给C&C
·更新配置参数(AES加密密钥除外)
·交互模式–允许攻击者接收来自控制台程序的输入,并将它们的输出发送到C&C
卡巴斯基表示:
Platinum APT的渗透方案非常复杂。它涉及许多步骤,需要所有步骤之间的良好协调。此外,由于使用了加密和无文件技术,文件系统中的任何文件都不能被检测为恶意文件。另一个使检测更加困难的特性是模仿知名软件。
目前卡巴斯基尚未发现Titanium组织的新攻击动态。