«Лаборатория Касперского» сообщает, что хак-группа Platinum, активная в Азиатско-Тихоокеанском регионе (APAC), вновь демонстрирует активность и новый инструмент — бэкдор, получивший название Titanium (таким паролем был зашифрован один из SFX-архивов, обнаруженный во время анализа).
Напомню, что APT Platinum была обнаружена специалистами компании Microsoft еще в 2016 году. Тогда сообщалось, что группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии.
Titanium — это финальный этап заражения в многоуровневой схеме установки трояна на атакуемую систему. Все этапы успешно скрываются на компьютере жертвы благодаря тому, что каждый из них выдает себя за популярное ПО (антивирусные продукты, утилиты из дистрибутива со звуковыми драйверами, программы для создания DVD-видео).
Как уже было сказано, Titanium представляет собой последовательность из нескольких этапов внедрения вредоносного ПО на компьютер жертвы, где конечным результатом атаки является троян-бэкдор. В каждом конкретном случае для осуществления атаки обычно используется следующий набор вредоносного ПО:
- эксплоит, позволяющий исполнять вредоносный код с правами SYSTEM;
- шеллкод, который должен загрузить на атакуемую систему следующий компонент схемы заражения;
- загрузчик, скачивающий защищенный паролем SFX-архив с командного сервера. Архив содержит файлы, необходимые для добавления задачи в планировщик задач Windows. Благодаря созданной задаче, зловред закрепляется в системе;
- защищенный паролем SFX-архив, содержащий установщик трояна-бэкдора;
- скрипт-установщик бэкдора в систему (PowerShell);
- DLL-библиотека COM-объекта (загрузчик бэкдора);
- собственно, сам троян-бэкдор (Titanium).
По мнению исследователей, для распространения на компьютеры жертв Titanium использует локальные веб-ресурсы. Еще одним известным способом распространения малвари является использование шеллкода, который внедряется в память какого-либо процесса. В рассматриваемой аналитиками кампании использовался системный процесс winlogon.exe, однако неизвестно, каким образом шеллкод попадал на компьютеры жертв.
Для общения с управляющим сервером вредонос применяет стеганографию. Так, при формировании запроса к управляющему серверу используются параметр UserAgent из конфигурации и специальный алгоритм генерации cookie-строки. Также, малварь может использовать системные настройки прокси из Internet Explorer.
В ответ на этот запрос командный сервер отдает PNG-файл, который содержит спрятанные с помощью стеганографии данные. Эти данные зашифрованы тем же ключом, что используется в запросах управляющему серверу. Расшифрованные стеганографические данные содержат команды для бэкдора и аргументы к ним.
В итоге бэкдор может принимать множество различных команд, приводим только самые интересные из них:
- чтение любого файла на компьютере жертвы и отправка его на управляющий сервер;
- загрузка (или удаление) файла на компьютер жертвы;
- загрузка и запуск файла;
- запуск командной строки с последующей отправкой результатов работы на управляющий сервер;
- обновление параметров конфигурации (кроме ключа шифрования трафика);
- интерактивный режим. Позволяет принимать от злоумышленника данные для ввода в консоль с отправкой результатов на сервер.
Таким образом, Titanium представляет собой довольно сложную и многоуровневую схему из загружаемых и устанавливаемых на компьютеры жертв компонентов. Такой подход требует хорошей координации действий между каждым из компонентов. Вдобавок, ни один из загружаемых и устанавливаемых на файловую систему компонентов не может быть определен как вредоносный, ведь авторы Titanium применяют шифрование для каждого из загружаемых на диск файла в сочетании с «бесфайловыми» техниками запуска кода. Другим ключевым моментом является использование имен каталогов и файлов реально существующего и популярного ПО.