Platinum APTグループが見えないバックドアを取得

2019/11/09 セキュリティーニュース
logo

Platinum APTグループの攻撃用ルーツに、Titaniumと呼ばれるバックドア機能を備えた新しいトロイの木馬が登場しました。これにより、サイバー犯罪者が攻撃されたシステムに侵入し、それらを完全に制御できるようになります。 Titanium の特徴は、目立つ場所に隠れることです。 特に、トロイの木馬は、セキュリティソリューション、オーディオドライバー、またはDVD書き込みソフトウェアを装っています。

 

Platinumグループ(Kaspersky LabによるとTwoForOne)は2009年から活動しており、その目標は政府組織、防衛企業、特別サービス、外交使節団、および南アジアおよび東南アジアの通信会社です。

 

Kaspersky Labによると、新しいマルウェアキャンペーンの一環として、グループは複数の段階にわたるダウンロードとインストールを含む長い感染チェーンを使用し、最終段階として攻撃されたシステムへのTitaniumバックドアの感染です。 このバックドアはメモリにロードされ、Windows APIの呼び出しによる難読化技術を使用したペイロードローダーを使用して起動します。

 

C&Cサーバーとの通信を確立するために、TitaniumはSystemID、コンピューター名、およびハードディスクのシリアル番号を含むbase64で暗号化された要求を送信します。サーバーからのコマンドは、ステガノグラフィーを使用してPNGファイルに「隠されています」。特に、このマルウェアは、ファイルシステムファイルの読み取りと送信を行うコマンドを受信し、ファイルシステムファイルを削除、ロード、実行し、コマンドラインを起動して結果をC&Cサーバーに送信し、構成パラメーターを更新し(AES暗号化キーを除く)、対話モードを有効にします。このモードにより、攻撃者はコンソールプログラムから入力を受け取り、C&Cサーバーに出力を送信できます。

 

アンチウイルスソリューションは、暗号化とファイルフリーテクノロジーの使用により、ファイルシステム内の悪意のあるファイルを検出できません。

 

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida