PLATINUM回歸——黑客組織使用隱寫技術躲避安全雷達

卡巴斯基研究人員發現一系列高度複雜的網路間諜攻擊行動，其目的是竊取南亞的外交、政府和軍事實體的信息。這些攻擊行動持續了近六年，並且與在該地區檢測到的其他最近攻擊存在聯繫。針對這些攻擊行動中使用的工具和手段的進一步調查，使研究人員得出結論，即這些攻擊背後的攻擊者為PLATIUM組織——一個他們認為已經消失的網路間諜組織。為了在如此長的時間裡保持行動隱蔽，該黑客組織使用了隱寫技術對其信息進行編碼，從而隱藏了信息的存在。

一段時間以來，安全研究人員一直在警告隱寫技術的危險性。寫術是以隱藏格式傳輸數據的做法，在這種情況下，發送數據的事實本身就是偽裝的。這樣來看，它與加密技術是不同的，因為加密技術僅是隱藏數據。通過使用隱寫技術，網路間諜攻擊者可以在受感染系統中潛伏很長時間而不引起懷疑。PLATINUM組織正是使用了這種方法，這是一個針對南亞和東南亞政府及相關組織的網路攻擊組織，其上一次已知活動早在2017年就有報告。

在最新發現的PLATINUM攻擊行動中，惡意軟體命令被嵌入網站的HTML代碼中。鍵盤上的「tab」和「空格鍵」鍵不會改變HTML代碼在Web頁面上的顯示方式，所以威脅攻擊者按照這兩個鍵的特定順序對命令進行編碼。因此，這些命令幾乎無法在網路流量中檢測到，因為惡意軟體只是訪問了一個看上去可疑的網站，整體的流量不會引起人們的注意。

為了檢測惡意軟體，研究人員必須檢測能夠上傳文件到設備的程序。其中，安全專家注意到一個程序的行為很奇怪。例如，該程序會訪問公共雲服務Dropbox進行管理，並被編程為僅在某些時間工作。研究人員後來意識到，這樣做的原因是為了隱藏正常工作時間內正在運行的進程中的惡意軟體活動，這樣其行為就不會引起懷疑。實際上，下載器會從受感染設備竊取並上傳數據和文件。

卡巴斯基安全研究員AlexeyShulmin說：「在PLATINUM已知的存在過程中，其攻擊行動一直都是複雜的和精心設計的。這次攻擊中使用的惡意軟體也不例外。除了隱寫技術外，其惡意軟體還有其他功能，可以讓其在雷達下長時間飛行而不被發現。例如，它不僅能夠從命令中心傳輸命令，還可以在受感染設備之間互相傳輸命令。通過這種方式，他們可以訪問與受攻擊設備屬於同一基礎架構的設備，而這些設備本身可能是無法連接到互聯網的。總之，看到像PLATIUM這樣的威脅組織實施隱寫技術是一個跡象，表明高級可持續性威脅正在增強其攻擊手段的複雜性，以便能夠不被發現，安全廠商在開發其安全解決方案時，應該注意這一點」。

為了降低成為複雜網路間諜攻擊行動受害者的風險，卡巴斯基建議採取以下措施：

·為員工進行安全意識培訓，向他們說明如何識別和避免潛在惡意的應用程序或文件。例如，員工不應從不受信任或未知的來源下載和安裝任何應用或程序。

·為了實現端點級別的檢測、調查以及進行及時的事故修復，請部署EDR解決方案，例如卡巴斯基端點檢測和響應。

·除了部署基礎點保護外，還需要部署能夠在早期階段在網路層面檢測高級威脅的企業級安全解決方案，例如卡巴斯基反針對性攻擊平台。

·為您的安全運營中心團隊提供對最新威脅情報的訪問，讓他們了解威脅攻擊者使用的最新工具、技巧和策略。

閱讀完整版報告Securelist.com

關於卡巴斯基

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！