titanium apt backdoorTitanium APT backdoor

Iz skupine Titanium APT prihaja nov val napada z zlonamerno programsko opremo, ki Windows sisteme okuži s skritim backdoorjem, s tem da posnema zakonito programsko opremo in t. i. tehniko brez datotek.

 

Skupina Titanium APT je ena izmed tehnološko najbolj naprednih hekerskih skupin. Za napad na tarčo uporabljajo različne izpopolnjene tehnike, njihov način napada pa je zelo težko zaznati. Zaradi uporabe šifriranja in t. i. brezpilotnih tehnologij za okužbo žrtev, njihovega datotečnega sistema zlonamerne programske opreme ni mogoče zaznati kot škodljivega. Titanium APT je ciljala predvsem na APAC regijo, trenutni napad pa naj bi bil osredotočen na južno in jugovzhodno Azijo, vendar se lahko pojavi kjerkoli.

 

Raziskovalci iz Kasperskyega so odkrili, da se zlonamerna programska oprema skriva na vsakem koraku z oponašanjem skupne programske opreme (povezana z zaščito, programska oprema za gonilnike zvoka, orodja za ustvarjanje videov DVD).

 

Titanium APT backdoor faze okužbe

Preden se backdoor namesti na računalnik z nameščenim operacijskim sistemom Windows, akterji groženj sledijo zapletenim zaporedjem faz spuščanja, nalaganja in namestitve. V vsaki fazi posnemajo znano programsko opremo, kot so varnostna programska oprema, programska oprema za izdelavo videov DVD, zvočna programska oprema gonilnikov… in se tako izognejo, da bi bili opaženi. Raziskovalci menijo, da so napadalci za širjenje zlonamerne programske opreme uporabili lokalno spletno stran, ki vsebuje zlonamerno kodo.

 

Kaspersky v objavi na blogu razlaga še drug način, in sicer da skupina Titanium APT v proces vbrizga shellcode, imenovan winlogon.exe, legalno procesno datoteko, splošno znano kot aplikacija za prijavo v Windows, ki izvaja različne kritične naloge, povezane s postopkom prijave v sistem Windows.

 

Sam shellcode, ki ni odvisen od položaja in se povežite s trdo kodiranim naslovom C&C, prenese šifrirano koristno obremenitev, ki jo nato dešifrira in zažene s trdo kodiranim geslom za razpakiranje.

 

Ustvarjalci Titanium Threat-a za dešifriranje in nalaganje šifriranih datotek v sistemski pomnilnik navadno uporabijo Wrapper DLL-je.

 

Da napadalci ostanejo prisotni v računalniku žrtve, uporabljajo Windows task installer, z geslom šifriran SFX, ki ga je mogoče prenesti s programom BITS Downloader. Knjižnica BITS pomaga iz C&C prenesti datoteke v šifrirani obliki ter jih zagnati.

 

Namestitev Backdoor-ja

V zadnji fazi namestitve backdoorja napadalci uporabijo namestitveni program Trojan-Backdoor, ki se zažene iz ukazne vrstice ter se z uporabo gesla razpakira.

 

Namestitveni program s strežnika C2 prejme ukaz tako, da na strežnik C2 pošlje prazno zahtevo, zlonamerna programska oprema pa lahko od Internet Explorerja pridobi tudi nastavitve proxy strežnika.

Strežnik C2 kot odgovor pošlje datoteko tipa PNG, ki vsebuje steganografsko skrite podatke. Ti podatki so šifrirani z istim ključem, kot ga zahteva C&C. Dešifrirani podatki vsebujejo ukaze za krajo podatkov okužene žrtve.

 

Kako ustaviti Titanium APT?

Na računalnikih in strežnikih v vašem podjetju priporočamo uporabo sistemov UEBA in EDR ter natančno spremljanje vseh dogodkov v centralnem sistemu SIEM. S tem boste hitro zaznali nenavadne dogodke v vaši infrastrukturi.

 

Poleg tega toplo svetujemo uporabo sistemov za napredno detekcijo prometa, anomalij in groženj z uporabo umetne inteligence (AI) in strojnim učenjem (ML), ki avtomatizirata zamudne varnostne operativne naloge in odpravljata slepe točke v omrežju.

 

Če vas zanima več o ranljivostih in varnosti vaših platform in strežnikov, nas kontaktirajte in naša strokovna ekipa bo poiskala najprimernejšo rešitev za vaš sistem.

 

Prispevek je pripravil Janez Peršin.