最近,黑客组织Platinum APT开发了一种新的隐形后门木马,名为Titanium,可以穿透并控制其目标系统。由于Titanium使用加密和无文件技术并伪装成各种合法程序,因此很难被防火墙或防病毒软件检测到。该木马可以从文件系统中窃取,植入或删除文件,并将窃取的文件发送到命令与控制(C&C)服务器。
自2009年以来,Platinum APT一直活跃于亚太地区,其目标客户是南亚和东南亚的政府组织,国防机构,情报机构,外交机构和电信提供商。当Platinum APT使用Titanium时,组织将使用一系列工件,包括可以以SYSTEM用户身份执行代码的漏洞,用于下载其他下载程序的shellcode和用于下载Windows任务安装脚本,下载程序,具有特洛伊木马安装程序,安装程序脚本,COM对象DLL和Titanium主体的SFX存档。卡巴斯基的研究小组表示:
“Titanium APT具有非常复杂的渗透方案。它涉及许多步骤,并且需要所有步骤之间的良好协调。此外,由于使用了加密和无文件技术,因此无法将文件系统中的任何文件检测为恶意文件。模仿众所周知的软件是使检测更加困难的另一个功能。”
此外,攻击者还可以将Shellcode注入系统进程以传播特洛伊木马。 Shellcode将从C&C服务器下载加密的有效负载,并将其解密以进入下一个感染步骤。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx