Firma Kaspersky przedstawia najnowsze doniesienia dotyczące aktywności Platinum – jednego z najbardziej zaawansowanych pod względem technicznym ugrupowań APT, które tradycyjnie koncentruje się na regionie Azji i Pacyfiku. Podczas analizy zidentyfikowano nowego backdoora o nazwie Titanium. Zaawansowana, długotrwała, ukierunkowana kampania Titanium składa się z serii etapów „zrzucania”, pobierania oraz instalowania
po których następuje umieszczenie trojana backdoora w atakowanym urządzeniu. Główne wektory infekcji obejmują między innymi lokalne strony intranetu z wykorzystaniem szkodliwego kodu w celu rozpoczęcia infekcji oraz szkodliwe archiwum, które można pobrać przy pomocy BITS Downloadera.
Backdoor potrafi przyjmować wiele różnych pleceń, w tym między innymi:
- Odczytaj dowolny plik z systemu plików i prześlij go do centrum kontroli (C&C)
- Zrzuć lub usuń plik w systemie plików
- Zrzuć plik i uruchom go
- Uruchom wiersz poleceń i prześlij wyniki wykonania do centrum kontroli (C&C)
- Uaktualnij parametry konfiguracji (z wyjątkiem klucza szyfrowania AES)
Omawiany szkodnik ukrywa się na każdym etapie, podszywając się pod często wykorzystywane programy, takie jak popularne oprogramowanie DVD czy antywirusowe. Główne cele ataków w ramach kampanii Titanium były zlokalizowane w Azji Południowej i Południowowschodniej – dotychczas zidentyfikowano około sześciu instytucji wojskowych i rządowych.
– Nasze badania po raz kolejny wskazują na to, że cyberprzestępcy, zgodnie z zeszłorocznymi przewidywaniami, wypłynęli na szersze wody, w związku z czym dzieje się wiele interesujących rzeczy, tzn. pojawiają się nowe ataki, kampanie oraz modyfikacje szkodliwego oprogramowania, które należy dopiero wykryć. Zidentyfikowany przez nas backdoor jest interesujący ze względu na możliwość wprowadzenia interaktywnego modułu, który umożliwia osobom atakującym wykorzystanie zdalnego trybu wiersza poleceń w celu wysyłania danych wyjściowych uruchomionego programu do centrum kontroli oraz otrzymywania od niego w sposób dynamiczny wszelkich żądanych danych wejściowych — powiedział Władimir Kononowicz, badacz bezpieczeństwa w firmie Kaspersky.
Produkty firmy Kaspersky wykrywają i blokują omawiane zagrożenie.
Firma Kaspersky zaleca podjęcie następujących środków bezpieczeństwa:
- Dopilnuj, aby oprogramowanie wykorzystywane w Twojej organizacji było regularnie aktualizowane oraz za każdym razem, gdy udostępniana jest nowa łata bezpieczeństwa. W automatyzacji tego procesu mogą pomóc produkty z funkcją kontroli luk w zabezpieczeniach oraz zarządzania łatami.
- Postaw na sprawdzone rozwiązanie zabezpieczające, takie jak np. Kaspersky Endpoint Security for Business, które jest wyposażone w możliwości wykrywania w oparciu o zachowanie, zapewniając tym samym skuteczną ochronę przed znanymi i nieznanymi zagrożeniami.
- Oprócz stosowania niezbędnej ochrony punktów końcowych, wdróż rozwiązanie zabezpieczające klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci już na wczesnym etapie.
- Dopilnuj, aby zespół ds. bezpieczeństwa posiadał dostęp do najnowszej analizy cyberzagrożeń. Prywatne raporty dotyczące aktualnego kształtowania się krajobrazu zagrożeń są dostępne dla klientów usługi Intelligence Reporting. Dalsze szczegóły można uzyskać, kontaktując się z nami pod adresem: intelreports@kaspersky.com.
- Równie ważne jest zapewnienie personelowi szkolenia, które pozwoli mu poznać i stosować w praktyce podstaw w zakresie higieny cyberbezpieczeństwa.