Хакеры из группы Platinum обратили систему обновлений Windows против самой ОС

Исследователи команды Windows Defender Advanced Threat Hunting рассказали об обнаружении новой APT-группы хакеров — Platinum. По данным специалистов, группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии. Группа не только применяет в своих кампаниях разные 0-day уязвимости, но и демонстрирует инновационные техники атак, к примеру, технику hotpatching.

Исследователи Microsoft сообщают, что Platinum — это далеко не любители. Группа преимущественно атакует правительственные учреждения, спецслужбы, оборонные предприятия и интернет-провайдеров. Хакеры не ищут прямой финансовой выгоды, вместо этого они практикуют классический кибершпионаж, похищая информацию, которая затем используется для получения определенных экономических преимуществ. Сообщается, что больше всего в результате деятельности Platinum пострадали Малайзия, Китай, Индия и Индонезия.

Различные техники, используемые Platinum, подробно описаны в докладе, представленном командой исследователей. Злоумышленники начинают с узконаправленного фишинга, а затем применяют 0-day уязвимости и кастомизированную малварь собственного производства. Platinum используют самоуничтожающихся зловредов и ПО, которое активно лишь в рабочее часы, дабы не создавать подозрительного трафика в нерабочее время. Но особенно специалисты Microsoft заостряют внимание на том факте, что группа Platinum эксплуатирует для атак технику hotpatching.

Функция hotpatching впервые была представлена в Windows Server 2003, а затем была удалена из состава ОС во время релиза Windows 8. Именно hotpatching позволяет Microsoft устанавливать обновления без перезагрузки системы. Для использования функции нужны права администратора, которые позволят «на лету» применять патчи к исполняемым файлам и DLL активных процессов.

Еще в 2006 и 2013 годах исследователи предупреждали, что в теории эта функция может быть обращена злоумышленниками во вред. Но только сейчас, в свежем отчете о деятельности группы Platinum, специалисты Microsoft сообщили, что атаки с примирением hotpatching используются на практике.

Согласно отчету, группировка Platinum использует hotpatching для скрытого внедрения вредоносного кода в процессы. Методика позволяет хакерам избежать обнаружения практическим любыми антивирусными продуктами, так как те следят, чтобы процессы не подвергались инъекциям по совсем другим, более распространенным методикам. К примеру, всё это позволяет злоумышленникам внедрить бекдор в процессы winlogon.exe, lsass.exe или svchost.exe.

По данным Microsoft, группировка по-прежнему активна, просто хакеры действуют аккуратно и почти не попадают «на радары» экспертов. Глядя на арсенал группы, специалисты Windows Defender Advanced Threat Hunting предполагают, что хакеры имеют правительственную или иную мощную поддержку, так как недостатка в финансах Platinum определенно не испытывает: экплоиты для 0-day уязвимостей, равно как и сами 0-day, это совсем недешевое удовольствие.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s