近日,黑客组织Platinum APT开发了一种名为Titanium的新型隐身后门木马,可渗透并控制其目标系统。由于Titanium使用了加密和无文件技术,并会伪装成各类合法程序,所以很难被防火墙或杀毒软件检测到。该木马可从文件系统窃取、植入或删除文件,并将所窃文件发送至命令和控制(简称C&C)服务器。
自2009年起,Platinum APT便开始活跃于亚太地区,其目标客户是南亚和东南亚的政府组织、国防机构、情报机构、外交机构和电信供应商。当Platinum APT使用Titanium时,该组织会使用一系列工件,包括:能够以SYSTEM用户身份执行代码的漏洞利用程序、用于下载其他下载器的shellcode、用于下载包含Windows任务安装脚本的SFX存档的下载程序、带有木马安装程序的加密SFX存档、安装程序脚本、COM对象DLL,以及Titanium主体。
卡巴斯基的研究团队称,该木马主要通过本地内部网站点进行传播。此外,攻击者也可通过技术手段将Shellcode注入系统进程来传播该木马,该Shellcode将从C&C服务器中下载被加密的有效载荷,并在对其解密后进入下一步感染步骤。
专家指出,鉴于该方法步骤繁多且技术复杂,进行此类攻击需要Platinum APT成员之间严密的配合。
