Пользователям Windows 10 грозит новая опасность

Пользователям Windows 10 грозит новая опасность

Хакерская группа, известная как Platinum, разработала бэкдор-угрозу безопасности, которая обнаружена в системах Windows 10. Предполагается, что группа Platinum APT, также известная как TwoForOne, имеет поддержку со стороны какого-то государства и активно работает по крайней мере, в течение последних десяти лет.

Евгений Касперский заявил:
“Platinum является одним из самых технологически продвинутых хакеров APT”.

Обнаружение троянского бэкдора Windows 10, который называется “Titanium” выявило, что он открывает один из архивов в цепочке заражения. Это только одна из последних угроз, которая исходит от этой постоянно развивающейся группы.

Titanium Windows 10 бэкдор

Вредоносная и технически продвинутая часть вредоносного ПО APT, была обнаружена исследователями в компании по безопасности Kaspersky в ходе недавнего анализа деятельности группы Platinum APT. Titanium бэкдор сам по себе является последней точкой сложной инфекционной последовательности. Предполагается, что инфекционный вектор использует вредоносный код на локальных веб-сайтах интрасети, но сама фактическая последовательность из семи шагов одинакова в каждом случае.

Во-первых, это использование эксплойта, способного выполнять код от имени пользователя “System”. С точки зрения привилегий, речь идет об администраторе, который использует операционную систему Windows 10 и службы, которые работают под ней. В большинстве случаев “System” для Windows, это то же самое, что “Root” для Linux.

Затем следует shellcode, который является кодом, запускающим командную строку для выполнения списка инструкций, внедренный в процесс winlogon.exe. Анализ Kaspersky подтверждает, что в настоящее время неизвестно, как был введен шелл-код. Точно известно, только то, что shellcode попадает вместе с загрузчиком, который в свою очередь, выполняется третий шаг в последовательности. Это загрузка самораспаковывающегося SFX архива, содержащего сценарий установки задачи Windows.

Затем открывается SFX-архив, защищенный паролем, чтобы запустить сам установщик троянского бэкдора. На пятом шаге, который запускает тот установочный скрипт, который активирует шестую фазу, это регистрация загрузчика .dll, который притворяется службой помощи программного обеспечения для создания DVD. В итоге седьмой шаг заключается в том, что компьютер становится подверженным вредоносным атакам.

Представитель Kaspersky говорит:
“Titanium использует несколько продвинутых методов, таких как шифрование, стеганография и вредоносные программы без файлов, чтобы попытаться скрыть свою деятельность от антивирусных программ. Также он использует эксплойты для внедрения своей полезной загрузки в процессы, которые работают с системой привилегии. В случае с Titanium программное обеспечение для обеспечения безопасности и создания DVD-дисков, а также звуковые драйверы входят в число процессов, имитируемых для того, чтобы оставаться скрытыми на каждом этапе”.

Это не первая угроза Windows, которая использует такую тактику атаки. Вредоносная программа «Great Duke of Hell» использовала аналогичные методы внедрения вирусных программ. Тем не менее, объединение бинарных файлов LOLBin, полученных из самой системы, с дополнительным шифрованием и стеганографией, благодаря которым Titanium скрывает данные команд, показывает, насколько технически развита эта группа атак.

Снижение угрозы безопасности Titanium backdoor

В своих отчетах, представитель Kaspersky утверждает, что
“Новая угроза Titanium APT заражает любую машину, которая использует современные ОС Windows”.

Пользователи Linux и macOS в курсе, что Titanium работает только в системах Windows.

Однако, существуют две хорошие новости. Во-первых, исследователи Касперского заявили:
“Мы не обнаружили никакой текущей активности, которая связана с Titanium APT. Это может быть связано с тем, что Platinum еще не запустила технологию на основе Titanium. Однако, это также может означать, что она так хорошо скрывается, что никто не обнаружил активные действия.”

Аналитика угроз предполагает, что многие Платиновые атаки годами остаются незамеченными, как и положено букве “P” в прозвище APT.

Во-вторых, как правило группа Platinum специализируется на атаках с высокой нацеленностью, как и большинство APT. В ранее выявленных случаях, история показывает, что правительственные цели находятся в приоритете, наряду со связанными организациями которые могут помочь проникнуть в них.

Ранее упоминалось, что Titanium далеко не единственная вредоносная программа, которая может незаметно проникать в системы и предоставлять контроль субъекту угрозы, продвинутому или постоянному. Поэтому убедитесь, что всегда соблюдаются правила кибер-гигиены, с точки зрения щелчка по ссылкам или загрузки приложений. Кроме того, убедитесь, что ваша система Windows постоянно обновляется, несмотря на широко известные проблемы, возникающие в последнее время с обновлениями Windows.