یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) به نام Platinum از یک بدافزار درِ پشتی– تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفادهمیکند.
منبع : مرکز مدیریت راهبردی افتا
یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) به نام Platinum از یک بدافزار درِ پشتی تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفادهمیکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک گروه از گردانندگان تهدیدات پیشرفته و مستمر (ATP) که مایکروسافت، آن را Platinum نامگذاری کرده از یک بدافزار درِ پشتی– تروجان با عنوان Titanium برای رخنه به اهداف خود و در اختیار گرفتن کنترل آنها استفادهمیکند.
چیزی که Titanium را از بدافزارهای مشابه دیگر متمایز میکند استفاده آن از چندین روش مخفیسازی و جا زدن خود بهعنوان محصولات امنیتی، راهاندازهای کارت صدا (Sound Drivers) یا نرمافزاری است که معمولاً از آن برای ذخیره اطلاعات بر روی DVD استفاده میشود.
بدافزار Platinum که شرکت کسپرسکی نیز از آن با نام TwoForOne یاد میکند، حداقل از سال ۲۰۰۹ میلادی در منطقه آسیا-اقیانوسیه فعال بوده و بهطور خاص سازمانهای دولتی، نهادهای دفاعی، آژانسهای اطلاعاتی، مؤسسات سیاسی و تأمینکنندگان مخابراتی در جنوب و جنوب شرق آسیا هدف قرار میدادهاست.
مایکروسافت در سال ۲۰۱۷ از استفاده گروه Platinum از کانال ارتباطی در بستر Intel Active Management Technology و با مکانیزم Serial-over-LAN خبر داد. روشی که موجب دشوار شدن شناسایی ارتباطات برقرار شده میان مهاجمان این گروه و سرورهای آلوده شده توسط محصولات و راهکارهای رصد و پالایش کننده میشود.
در گزارشی نیز که اخیراً شرکت Kaspersky آن را منتشر کرده اشاره شده که در بخشی از کارزار جدید Titanium، گروه Platinum در فرایندی چندمرحلهای با دریافت، اجرا و نصب کدهای مخرب در چندین مرحله اقدام به آلودهسازی اهداف خود واقع در جنوب و جنوب شرق آسیا به درِ پشتی میکند.
این گروه از هکرها ضمن استفاده از کدهایی به نوعی گمراهکننده از روشهای زیر برای از توزیع آلودگی بهره گرفتهاند: • بهرهجو (Exploit) با قابلیت اجرای کد با سطح دسترسی SYSTEM، • کد موسوم به Shellcode برای دریافت دریافتکننده (Downloader) بعدی، • یک دریافتکننده برای دریافت فایلی فشردهشده تحت قالب SFX که خود شامل یک فرمان (Windows Task) نصب اسکریپت است، • یک فایل SFX حفاظت شده توسط رمز عبور که حاوی نصاب یک تروجان–دربپشتی است، • یک نصاب اسکریپت(ps۱)، • یک شی COM در قالبDLL ، • تروجان – درِ پشتی اصلی.
به نظر میرسد که Platinum یا از سایتهای اینترانت محلی برای ارائه کدهای مخرب خود که در جریان پروسه آلودگی از آنها استفاده میکند، بهره میگیرد و یا یک Shellcode تزریق شده در فرایندی سیستمی را در روشی که هنوز نحوه انجام آن در تحقیقات Kaspersky روشن نشده است، بکار میگیرد. تنها هدف این Shellcode رخنه اولیه به هدف از طریق دریافت کد رمزگذاری شده از سرور فرمان و کنترل (Command and Control)، رمزگشایی آن و اجرای کد مخرب بعدی در زنجیره آلودگی است.
پس از آلوده شدن سیستم، بدافزار مراحل دیگر را برای دریافت سایر کدها، دریافت فایلهای مورد نیاز با استفاده از بخش Background Intelligent Transfer Service در سیستم عامل Windows و قابل استفاده کردن آنها از طریق یک ابزار معتبر cURL برای برقراری ارتباط با سرور فرماندهی خود دنبال میکند.
کد Titanium در حافظه فراخوانی شده و با استفاده از یک اجرا کننده کد که از طریق فرخوانی توابع API سیستم عامل Windows و حلقههای (Loop) متعدد به شدت مبهمسازی (Obfuscation) شده از سد ضدویروسهای با قابلیتهای شناسایی ساده عبور میکند.
برای راهاندازی جریان انتقال فرامین سرور فرماندهی، Titanium اقدام به ارسال یک درخواست کدبندی شده در قالب Base۶۴ که حاوی شناسه منحصربهفردی از دستگاه، نام و شماره سریال دیسک آن است میکند. پس از آن، دریافت فرامین از سرور فرماندهی از طریق بدافزار آغاز میشود.
فرامین دریافت شده که در فایلهای PNG پنهاننگاری (Steganography) شدهاند، مهاجمان را قادر به اجرای دامنهای گسترده از فرامین ازجمله موارد زیر میکنند:
• خواندن هر فایلی بر روی سیستم فایل (File System) و ارسال آن به سرور فرمان و کنترل، • ایجاد یا حذف یک فایل بر روی سیستم فایل، • ایجاد یک فایل و اجرای آن، • اجرای یک خط فرمان و ارسال نتایج آن به سرور فرمان و کنترل، • بهروزرسانی پارامترهای تنظیمات (بجز کلیدهای رمزگذاریAES)، • حالت تعاملی که مهاجمان را قادر به به دریافت ورودی از برنامههای دارای کنسول و ارسال خروجی آنها به سرور فرماندهی میکند.
روش رخنه طراحی شده توسط گروه Platinum برای آلودهسازی سیستم قربانی شامل مراحلی متعدد است که اجرای آن بیانگر هماهنگی کامل میان اجزای آن است. ضمن اینکه به دلیل استفاده آن از رمزگذاری و تکنیکهای موسوم به بدون فایل (Fileless) هیچ یک از فایلهای ذخیره شده آن بر روی سیستم فایل از لحاظ مخرب بودن قابل تشخیص توسط محصولات امنیتی نیستند.