Platinum是亚太地区技术最先进的一类APT组织,于2016年被微软发现。该组织主要针对南亚和东南亚地区,对isp、政府机构、情报机构和国防机构进行鱼叉式网络钓鱼攻击,从攻击目标来看,黑客的动机似乎是国家机密而非金融勒索。
2018年6月,卡巴斯基的专家就注意到了Platinum组织对东南亚国家政府和军事实体的攻击,调查后发现,此次行动可能最早始于2012年。在今年6月,Platinum APT组织又被观察到使用隐写技术来隐藏与命令和控制服务器(C&C)的通信。
最近,卡巴斯基实验室发现了Platinum使用的一类新型后门——Titanium,借由它攻击者可以穿透并控制目标系统。Titanium使用了许多加密和无文件技术,还伪装成了各类合法程序,很难被防火墙或杀毒软件检测到。此木马可以从文件系统中窃取、植入或删除文件,并将文件发送到C&C服务器。
卡巴斯基表示,Titanium的植入和安装过程很复杂且隐蔽。恶意软件通过模仿正规软件,比如安全产品、声音和视频处理软件等,层层侵入,最终在受害者计算机上安装Titanium木马后门。
涉事地区依然发生在南亚和东南亚,奇热如下图所示。
专家指出,常规攻击链关键在于以下几点:能够以SYSTEM用户身份执行代码的漏洞、下载下一阶段下载器的shellcode、下载包含Windows任务安装脚本的SFX