Platinum kiber josuslar steganografiya yordamida C&C serveri bilan aloqalarni niqoblaydi
Guruh hujumlarni niqoblash uchun vositalarini takomillashtirishda davom etmoqda.
Kasperskiy laboratoriyasi tadqiqotchilari 2018-yilning iyun oyida Janubiy va Janubi-Sharqiy Osiyodagi diplomatik, hukumat va harbiy tuzilmalarga hujum qilgan Platinum kiber-josuslik guruhi faoliyatiga oid yangi tafsilotlarni e’lon qilishdi. Hujumlar birinchi marta o‘tgan yozda aniqlangan bo‘lsa-da, ekspertlarning fikricha, EasternRoppels deb nomlangan kampaniya kamida 2012-yildan beri faol bo‘lgan. guruh kampaniyasining ikkinchi bosqichi bilan bog’langan. Backdoor – bu tizimda mavjudligini saqlab qolish uchun WinSock NSP sifatida ishlaydigan DLL kutubxonasi. Zararli dasturning asosiy maqsadi tizim ma’lumotlarini olishdir. U fayllarni yuklab olish, PowerShell skriptlarini ishga tushirish va steganografiya yordamida buyruq va boshqaruv serveri bilan aloqalarni yashirishga qodir.
Orqa eshikni o’rnatish uchun maxsus tomchi ishlatiladi. Zararli dastur orqa eshik va uning konfiguratsiya faylini saqlaydigan papkalarni yaratadi. Keyin dastur orqa eshikni ishga tushiradi, tizimda qat’iylikni ta’minlaydi va o’zini o’zi yo’q qiladi.
O’rnatilgandan so’ng, orqa eshik buyruq va boshqaruv serveriga ulanadi va shifrlangan buyruqlar va shifrlash kalitini o’z ichiga olgan HTML sahifasini yuklab oladi. O’rnatilgan ma’lumotlar ikkita steganografiya usuli yordamida kodlangan va <–1234567890> tegiga joylashtirilgan.
«Birinchi texnika HTML teglardagi atributlar tartibiga e’tibor bermaslik tamoyiliga asoslanadi […] Backdoor satr bo’yicha dekodlaydi va shifrlash kalitini saqlaydi, u ham kodlangan, lekin boshqa steganografiya texnikasidan foydalanadi», deb tushuntirdi tadqiqotchilar.
Orqa eshik fayllarni yuklab olish, tushirish va bajarish buyruqlarini qo’llab-quvvatlaydi, jarayonlar va papkalar ro’yxati uchun so’rovlarni qayta ishlash, o’zini yangilash va o’chirish va konfiguratsiya faylini o’zgartirishi mumkin.
Bundan tashqari, tadqiqotchilar orqa eshiklar uchun konfiguratsiya va buyruq fayllarini yaratish uchun bajariladigan faylni (150 dan ortiq variant konfiguratsiyasini qo’llab-quvvatlaydi), shuningdek, yuqorida tavsiflangan tahdidlar bilan bir xil xususiyatlarga ega, ammo boshqa virusli qurilmalar bilan o’zaro aloqada bo’lish va ularni tarmoqqa ulash imkoniyatiga ega bo’lgan P2P backdoorni topdilar.
Mutaxassislarning xulosasiga ko’ra, topilmalar asosida Platinum guruhi hali ham faol va o’z asboblar to’plamini yaxshilashda davom etmoqda.
