Grupa cyberprzestępców nadużywa mechanizmu Hotpatching systemu Windows w celu ukrycia szkodliwego oprogramowania

Aktywna w Azji grupa cyberprzestępców wykorzystuje funkcję Windows znaną jako hotpatching, aby lepiej ukryć swoje szkodliwe oprogramowanie przed produktami bezpieczeństwa.

Grupa, którą badacze szkodliwego oprogramowania od Microsoftu nazywają Platinum, jest aktywny od co najmniej 2009 r. i skierowany jest przede wszystkim do organizacji rządowych, instytutów obrony, agencji wywiadowczych i dostawców usług telekomunikacyjnych w Azji Południowej i Południowo-Wschodniej, w szczególności z Malezji, Indonezji i Chin.

Do tej pory grupa używała oszukańczych e-maili o phishingu które są skierowane do określonych organizacji lub osób - jako głównej metody ataku, często łącząc je z exploitami wcześniej nieznane lub zerowe luki, które instalują niestandardowe złośliwe oprogramowanie. Przywiązuje wielką wagę do tego, aby pozostać niewykrytym.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

Aby to osiągnąć, uruchamia tylko niewielką liczbę kampanii ataków co roku. Jego niestandardowe komponenty szkodliwego oprogramowania mają funkcję samo-usuwania i są zaprojektowane tak, aby działały tylko w godzinach pracy ofiar, aby ukryć swoją aktywność wśród zwykłego ruchu użytkowników, zespół Microsoft Windows Defender dotyczący zaawansowanego wykrywania zagrożeń powiedział w raporcie.

Podczas gdy naukowcy Microsoftu nie mówiąc już o pewności, że Platinum jest sponsorowaną przez państwo grupą cyberprzestępców, powiedzieli, że "grupa wykazuje cechy dobrze finansowanego, zorganizowanego i skoncentrowanego na informacjach, które byłyby najbardziej przydatne dla organów rządowych."

Jeden z bardziej interesujących technik stosowanych przez grupę jest znana jako hotpatching. Wykorzystuje to nieco niejasną funkcję, która została po raz pierwszy wprowadzona w systemie Windows Server 2003 i która pozwala na dynamiczną aktualizację składników systemu bez konieczności ponownego uruchamiania komputera.

Poprawiono wyświetlanie na gorąco w systemie Windows 8 i nowszych wersjach, ponieważ były rzadko używane. W ciągu 12 lat wsparcia dla Windows Server 2003 tylko 10 łat wykorzystywało tę technikę.

Potencjalne użycie hotpatchów jako ukrytego sposobu wprowadzania złośliwego kodu w działające procesy zostało opisane przez badacza ds. Bezpieczeństwa Alexa Ionescu na konferencji bezpieczeństwa SyScan w 2013. I to jest jego technika, z której korzysta grupa Platinum.

Po raz pierwszy naukowcy Microsoftu zobaczyli technikę wykorzystywaną w środowisku przez złośliwych napastników.

"Używanie hotpatchingu w złośliwym kontekście jest techniką które można wykorzystać w celu uniknięcia wykrycia, ponieważ wiele rozwiązań antymalware monitoruje procesy niesystemowe dla regularnych metod wtrysku, takich jak CreateRemoteThread "- stwierdzili naukowcy Microsoft w poście na blogu. "Z praktycznego punktu widzenia oznacza to, że PLATINUM było w stanie nadużywać tej funkcji, aby ukryć swój backdoor przed czujnikami behawioralnymi wielu produktów bezpieczeństwa hosta."