Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

APT-группа Platinum обзавелась маскирующемся бэкдором

11/11/19

hack86В арсенале APT-группы Platinum появился новый троян с функциями бэкдора под названием Titanium, позволяющий киберпреступникам проникать в атакуемые системы и получать над ними полный контроль. Отличительной чертой Titanium является его способность прятаться на самом видном месте. В частности, троян маскируется под решения безопасности, аудиодрайверы или ПО для записи DVD.

Группировка Platinum (TwoForOne по версии «Лаборатории Касперского») активна с 2009 года, а ее целями являются правительственные организации, оборонные предприятия, спецслужбы, дипломатические миссии и телекоммуникационные компании в странах Южной и Юго-Восточной Азии.

Как сообщает «Лаборатория Касперского», в рамках новой вредоносной кампании группировка использует длинную цепочку заражений, включающую в себя несколько этапов загрузок и установок, и финальным этапом является инфицирование атакуемой системы бэкдором Titanium. Данный бэкдор загружается в память и запускается с помощью загрузчика полезной нагрузки, использующего технику обфускации через вызовы API Windows.

Для установки связи с C&C-сервером Titanium отправляет зашифрованные с помощью base64 запросы, содержащие SystemID, имя компьютера и серийный номер жесткого диска. Команды от сервера «прячутся» в PNG-файлах с использованием стеганографии. Среди прочих, вредонос получает команды читать и отправлять на C&C-сервер любые файлы файловой системы, удалять, загружать и запускать файлы файловой системы, запускать командную строку и отправлять результаты выполнения на C&C-сервер, обновлять параметры конфигурации (за исключение ключа шифрования AES) и включать интерактивный режим. Это режим позволяет атакующему получать входные данные от консольных программ и отправлять выходные данные на C&C-сервер.

Антивирусные решения не детектируют никаких вредоносных файлов в файловой системе из-за использования шифрования и бесфайловых технологий.

Темы:УгрозытрояныAPT-группыЛКбэкдоры
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...