Кибершпионы Platinum маскируют коммуникации с C&C-сервером с помощью стеганографии

Специалисты «Лаборатории Касперского» опубликовали новые подробности о деятельности специализирующейся на кибершпионаже группировке Platinum, в июне 2018 года атаковавшей дипломатические, государственные и военные структуры в странах Южной и Юго-Восточной Азии. Хотя впервые атаки были зафиксированы летом прошлого года, эксперты считают, что кампания, получившая название EasternRoppels, активна по меньшей мере с 2012 года.

В ходе не относящегося к Platinum расследования эксперты обнаружили бэкдор, который, по их мнению, связан со вторым этапом кампании группировки. Бэкдор представляет собой DLL-библиотеку, работающую как WinSock NSP для сохранения присутствия на системе. Основная задача вредоноса — получить данные о системе. Он способен загружать файлы, запускать скрипт PowerShell, а также скрывать коммуникации с управляющим сервером, используя стеганографию.

Для установки бэкдора используется специальный дроппер. Вредоносная программа создает папки, в которых сохраняет непосредственно бэкдор и его конфигурационный файл. Далее программа запускает бэкдор, обеспечивает персистентность на системе и самоуничтожается.

После установки бэкдор подключается к управляющему серверу и загружает HTML страницу, содержащую зашифрованные команды, а также ключ шифрования. Встроенные данные закодированы с использованием двух техник стеганографии и помещены в тег <—1234567890>.

«Первая техника основана на принципе, что HTML не обращает внимание на порядок атрибутов в тегах […] Бэкдор декодирует строку за строкой и сохраняет ключ шифрования, который также закодирован, но уже с помощью другой техники стеганографии», — пояснили исследователи.

Бэкдор поддерживает команды на загрузку, выгрузку и исполнение файлов, может обрабатывать запросы на списки процессов и папок, обновлять и деинсталлировать себя, а также изменять свой конфигурационный файл.

Кроме того, исследователи обнаружили исполняемый файл для создания конфигурационных и командных файлов для бэкдоров (поддерживает конфигурацию более 150 опций), а также P2P бэкдор, обладающий теми же характеристиками, что и вышеописанные угрозы, но способный взаимодействовать с другими зараженными устройствами и объединять их в сеть.

Судя по находкам, группировка Platinum все еще активна и продолжает совершенствовать свой инструментарий, заключили специалисты.

Источник: Securitylab