Platinum APT encuentra una nueva puerta trasera llamada Titanium. Hábilmente escabullirse para robar información. – Ecoticias

Platinum APT, un grupo sigiloso que invade activamente los sistemas en la región de Asia y el Pacífico, ahora ha encontrado una nueva puerta trasera para operar. Este nuevo método, llamado por Microsoft, Titanium, ahora puede descargar malware que permanece dentro del sistema, escondiéndose y obteniendo acceso al dispositivo de la víctima.

Este grupo Platinum ganó prominencia en 2016 por abusar del método de parcheo en caliente de Microsoft y, más tarde, por explotar las capacidades de Intel AMT Serial Over LAN.

¿Qué es una APT?

Platinum APT encuentra una nueva puerta trasera llamada Titanium.  Hábilmente escabullirse para robar información.
Fuente de la imagen: https://www.axios.com/

Amenaza persistente avanzada, es un grupo o un individuo que intenta obtener acceso no autorizado a una red o sistema y permanecer por un período prolongado. El objetivo del atacante puede no ser golpear o bloquear para obtener rescates, sino robar información importante que podría beneficiarlo. Estas actividades las llevan a cabo empresas o incluso gobiernos para monitorear los planes de los rivales.

Modo de operación

Como se detalla por Securelist, Titanium utiliza un método difícil para colarse y entregar la carga útil. Dice como:

  • un exploit capaz de ejecutar código como usuario del SISTEMA
  • un shellcode para descargar el próximo descargador
  • un descargador para descargar un archivo SFX que contiene un script de instalación de tareas de Windows
  • un archivo SFX protegido por contraseña con un instalador de puerta trasera troyano.
  • un script de instalación (ps1)
  • una DLL de objeto COM (un cargador).
  • la propia puerta trasera de Troya

Utiliza todos los servicios legítimos, como el Servicio de transferencia inteligente en segundo plano de Windows (BITS) y las llamadas a la API de Windows para comunicarse con los servidores involucrados.

Para concluir, el objetivo de Titanium es descargar, descartar e instalar la carga útil de forma secuencial, lo que le da al grupo no autorizado acceso al sistema y realiza actividades.

Lo mejor de todo es que esta nueva puerta trasera de volcado de troyanos está oculta en todos los pasos mencionados anteriormente. Se disfraza de software / herramienta legítima, como controladores de sonido, creador de DVD o aplicación de protección. Y eso es lo que lo hace único en comparación con todas las APT anteriores que se han llevado a cabo.