Исследователи команды Windows Defender Advanced Threat Hunting обнаружили группу хакеров Platinum, которая организовывала атаки при помощи системы обновлений Windows.

Об этом сообщает “Хакер”.

Специалисты отмечают, что свою деятельность группировка начала как минимум с 2009 года. Как правило, хакеры атакуют организации в странах Южной и Юго-Восточной Азии. Во время атак группировка не только применяет различные 0-day уязвимости, но и демонстрирует инновационные техники атак, одной из которых считается hotpatching.

По словам исследователей Microsoft, представителей группы Platinum нельзя назвать любителями. В основном хакеры совершают атаки на правительственные учреждения, спецслужбы, оборонные предприятия и Интернет-провайдеров. Группа не ищет прямой финансовой выгоды, практикуя лишь классический кибершпионаж. Речь идет о похищении информации, которую они впоследствии используют для получения определенных экономических преимуществ. В результате деятельности Platinum пострадали Малайзия, Индия, Китай и Индонезия.

ЧИТАЙТЕ ТАКЖЕ: OS X может подвергаться атакам из-за устаревшей версии Git

В своем докладе эксперты рассказали о различных техниках, используемых группой Platinum. Отмечается, что злоумышленники начинают с узконаправленного фишинга, а затем применяют 0-day уязвимости и кастомизированную малварь собственного производства. Platinum использует самоуничтожающихся зловредов и ПО, которые проявляют активность лишь в рабочее часы, чтобы не создавать подозрительного трафика в нерабочее время. Кроме того, специалисты Microsoft заостряют внимание на том факте, что группа Platinum взяла на вооружение и технику hotpatching.

Как известно, функцию hotpatching презентовали в Windows Server 2003, а затем удалили из состава ОС во время релиза Windows 8. Данная функция позволяет Microsoft устанавливать обновления без перезагрузки системы. Для использования функции требуются права администратора, которые позволяют применять патчи к исполняемым файлам и DLL активных процессов.

Ранее исследователи предупреждали, что такая функция может быть использована злоумышленниками. Однако лишь сейчас в Microsoft сказали, что атаки с примирением hotpatching используются и на практике.

ЧИТАЙТЕ ТАКЖЕ: Исследователь искал уязвимости в Facebook, а нашел чужой вредоносный скрипт

Группировка Platinum использует hotpatching для скрытого внедрения вредоносного кода в системные процессы. Методика позволяет хакерам избежать обнаружения какими-либо антивирусными продуктами, так как те следят, чтобы процессы не подвергались инъекциям по совсем другим, более распространенным методикам. К примеру, все это позволяет злоумышленникам внедрить бекдор в процессы winlogon.exe, lsass.exe или svchost.exe.

platinum 369x280

“Впервые мы заметили применение техники hotpatching на одной малайзийской машине. Эксплуатируя данную функцию, Platinum на протяжении долгого времени закрепляли свое присутствие в системах компаний-жертв и при этом оставались незамеченными”, – пояснили исследователи.

В Microsoft добавили, что группировка по-прежнему активна, однако действует аккуратно и редко замечается экспертами.

Проанализировав арсенал группы, специалисты Windows Defender Advanced Threat Hunting сделали предположение, что у нее имеется правительственная или другая серьезная поддержка. Эксперты пояснили, что недостатка в финансах группа Platinum не испытывает, ведь 0-day и экплоиты для 0-day стоят немало.

Ранее сообщалось, что хакеры стали чаще атаковать медучреждения.