O recém-descoberto backdoor de titânio emprega maneiras inteligentes de passar despercebido

11

Um dos grupos de hackers mais tecnologicamente avançados do mundo tem um novo backdoor tão sofisticado quanto seus criadores.

Apelidado de Titanium pelos pesquisadores de segurança da Kaspersky Lab que o descobriram, o malware é a carga final entregue em uma longa e complicada sequência de ataques. A cadeia de ataques usa uma série de truques inteligentes para evitar a proteção antivírus. Esses truques incluem criptografia, imitação de drivers e softwares de dispositivos comuns, infecções somente na memória e uma série de conta-gotas que executam o código malicioso em uma sequência de várias etapas. Outro meio de permanecer no radar são os dados ocultos entregues esteganograficamente em uma imagem PNG.

Nomeado após uma senha usada para criptografar um arquivo malicioso, o Titanium foi desenvolvido pelo Platinum, um chamado grupo avançado de ameaças persistentes que foca hacks na região da Ásia-Pacífico, provavelmente em nome de uma nação.

"O Titanium APT possui um esquema de infiltração muito complicado", pesquisadores da Kaspersky Lab escreveu em um post. “Envolve inúmeras etapas e requer uma boa coordenação entre todas elas. Além disso, nenhum dos arquivos no sistema de arquivos pode ser detectado como malicioso devido ao uso de criptografia e tecnologias sem arquivo. Outro recurso que dificulta a detecção é a imitação de software conhecido. ”

O Titanium usa vários métodos diferentes para infectar inicialmente seus alvos e se espalhar de um computador para outro. Uma é uma intranet local que já foi comprometida com malware. Outro vetor é um SFX arquivo contendo uma tarefa de instalação do Windows. Um terceiro é o shellcode que é injetado no processo winlogon.exe (ainda não se sabe como isso acontece). O resultado final é uma porta traseira furtiva e completa que pode:

  • Leia qualquer arquivo de um sistema de arquivos e envie-o para um servidor controlado pelo invasor
  • Solte ou exclua um arquivo do sistema de arquivos
  • Solte um arquivo e execute-o
  • Execute uma linha de comando e envie os resultados da execução ao servidor de controle do invasor
  • Atualizar parâmetros de configuração (exceto a chave de criptografia AES)

A Platinum está em operação desde pelo menos 2009, de acordo com um relatório detalhado da Microsoft publicado em 2016. O grupo está focado principalmente no roubo de propriedade intelectual sensível relacionada a interesses do governo. A platina geralmente depende de spear phishing e explorações de dia zero.

Curiosamente, a Kaspersky Lab diz que ainda não detectou nenhuma atividade atual relacionada ao Titânio. Não está claro se isso ocorre porque o malware não está em uso ou se é muito difícil detectar computadores infectados.

Fonte: Ars Technica