مهمترین مسئله برای گروههای جاسوسی و هک با تهدید ماندگار APT(1) این است که هک، برای حداکثر زمان ممکن، غیرقابل تشخیص باشد.
تیم کشف تهدیدات پیشرفتهی windows defender به تازگی کشف کرده که یک گروه APT که Platinum نام دارد با سوءاستفاده از یک روش نوین به نام Hotpatching مشغول جاسوسی از اهداف مهمی بوده است.
ویژگی Hotpatching از ویندوز سرور ۲۰۰۳ معرفی شد و به مایکروسافت اجازه میدهد که برنامهها و سیستمعامل را در حال کار و بدون نیاز به reboot کامپیوتر، بهروزرسانی کند.
گروه هک Platinum از روش spear-phishing برای نفوذ اولیه به شبکههای هدف استفاده میکند و در حملات خود از تعداد فراوانی آسیبپذیری روز صفر استفاده میکند و تلاشهای بسیاری برای مخفی کردن حملات خود میکند.
آخرین گزارش منتشرشده توسط مایکروسافت میگوید که گروه Platinum از ویژگی hotpatching ویندوز سوءاستفاده میکند که اجازه میدهد کد موذی را بدون نیاز به reboot سرور در پروسس های در حال اجرا تزریق کند و بعداً بک دورها و سایر بدافزارها را از دید آنتیویروس مخفی میکند.
طبق گزارش مایکروسافت: اگر ابزار نتواند کد را با استفاده از hotpatching تزریق کند شروع به انجام سایر روشهای معمول تزریق کد به پروسس های ویندوز میکند. بهعنوانمثال winglogon.exe, lsass.exe, svchost.exe را مورد هدف قرار میدهد.
تکنیک hotpatching در سیستمعاملهای Windows server 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows7 عمل میکند. Platinum از این روش در حملات خود استفاده میکند تا کارهای خود را از دید تحلیلها پنهان کند.
این گروه از روش hotpatching برای نصب کردن بک دور های Dipsing ,Adbupd ,JPIN در شبکههای سازمانهای حکومتی از حمله سازمانهای دفاعی، سازمانهای اطلاعاتی، دیپلماتها و فراهم آورندگان اینترنت (ISP) استفاده میکند و سپس شروع به سرقت دادههای حساس آنها میکند.
به نظر نمیرسد هدف این حملات سود اقتصادی صرف باشد بلکه گروه Platinum از اطلاعات دزدیدهشده در یک کمپین جاسوسی بزرگتر استفاده میکند.
این گروه از سال ۲۰۰۹ کشورهایی در جنوب و جنوب شرق آسیا را هدف این گرفته که مالزی بزرگترین قربانی بهحساب میآید و بعد از آن اندونزی و چین و هند قرار دارند.
ازآنجاییکه گروه Platinum همچنان فعال است سازمانها و شرکتها برای جلوگیری از آلودگی باید به هوش باشند. مختصصان امنیت مایکروسافت اعلام کردهاند تکنیک hotpatching نیاز به دسترسی سطح admin دارد و مهاجمها ایمیلهای فیشینگ حاوی فایل Office آلوده را بهعنوان تله برای کاربران هدف ارسال میکنند.
منبع
http://thehackernews.com/2016/04/windows-hotpatching-malware.html
ثبت ديدگاه