Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Кибершпионы Platinum маскируют коммуникации с C&C-сервером с помощью стеганографии

07/06/19

hack66-2Специалисты «Лаборатории Касперского» опубликовали новые подробности о деятельности специализирующейся на кибершпионаже группировке Platinum, в июне 2018 года атаковавшей дипломатические, государственные и военные структуры в странах Южной и Юго-Восточной Азии. Хотя впервые атаки были зафиксированы летом прошлого года, эксперты считают, что кампания, получившая название EasternRoppels, активна по меньшей мере с 2012 года.

В ходе не относящегося к Platinum расследования эксперты обнаружили бэкдор, который, по их мнению, связан со вторым этапом кампании группировки. Бэкдор представляет собой DLL-библиотеку, работающую как WinSock NSP для сохранения присутствия на системе. Основная задача вредоноса - получить данные о системе. Он способен загружать файлы, запускать скрипт PowerShell, а также скрывать коммуникации с управляющим сервером, используя стеганографию.

Для установки бэкдора используется специальный дроппер. Вредоносная программа создает папки, в которых сохраняет непосредственно бэкдор и его конфигурационный файл. Далее программа запускает бэкдор, обеспечивает персистентность на системе и самоуничтожается.

После установки бэкдор подключается к управляющему серверу и загружает HTML страницу, содержащую зашифрованные команды, а также ключ шифрования. Встроенные данные закодированы с использованием двух техник стеганографии и помещены в тег <--1234567890>.

«Первая техника основана на принципе, что HTML не обращает внимание на порядок атрибутов в тегах […] Бэкдор декодирует строку за строкой и сохраняет ключ шифрования, который также закодирован, но уже с помощью другой техники стеганографии», - пояснили исследователи.

Бэкдор поддерживает команды на загрузку, выгрузку и исполнение файлов, может обрабатывать запросы на списки процессов и папок, обновлять и деинсталлировать себя, а также изменять свой конфигурационный файл.

Кроме того, исследователи обнаружили исполняемый файл для создания конфигурационных и командных файлов для бэкдоров (поддерживает конфигурацию более 150 опций), а также P2P бэкдор, обладающий теми же характеристиками, что и вышеописанные угрозы, но способный взаимодействовать с другими зараженными устройствами и объединять их в сеть.

Судя по находкам, группировка Platinum все еще активна и продолжает совершенствовать свой инструментарий, заключили специалисты.

Темы:УгрозыЛКстенографияКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...