Secuestro de hackers de PLATINO Windows Hotpatching para mantenerse oculto

ataque cibernetico-windows-hotpatching

En breve

El de Microsoft Windows El equipo Defender Advanced Threat Hunting detectó que un grupo de piratas informáticos de ciberespionaje, conocido como PLATINUM, ha encontrado una manera de activar WindowsLa técnica Hotpatching (una forma de actualizar el sistema operativo sin requerir un reinicio) para ocultar su malware de los productos antivirus.

El grupo PLATINUM ha estado activo desde 2009 y ha lanzado ataques a gran escala contra organizaciones gubernamentales, agencias de inteligencia, institutos de defensa y proveedores de telecomunicaciones en el sur y sureste de Asia.

Hablando en términos prácticos, lo más importante para un hacker APT sofisticado y un grupo de espionaje cibernético es permanecer sin ser detectado por el período más largo posible.

Bueno, eso es exactamente lo que ha logrado un grupo APT (Amenaza persistente avanzada).

El de Microsoft Windows Defender Advanced Threat Hunting el equipo descubri√≥ que un grupo APT, denominado Platinum, ha estado espiando a objetivos de alto perfil al abusar de un “novela“t√©cnica llamada Parche caliente.

Introducido en Windows Server 2003, la función Hotpatching le permite a Microsoft actualizar las aplicaciones o el sistema operativo en el sistema en ejecución sin tener que reiniciar la computadora insertando el nuevo código actualizado en un servidor.

El grupo de pirateo Platinum a menudo ha utilizado la técnica de phishing para penetrar inicialmente en las redes objetivo, ha utilizado numerosas vulnerabilidades de día cero en los ataques y ha realizado muchos esfuerzos para ocultar sus ataques.

El √ļltimo informe publicado por Microsoft dijo que el grupo Platinum abus√≥ del Windows’funci√≥n de parcheo en caliente, que le permite inyectar c√≥digo malicioso en los procesos en ejecuci√≥n sin tener que reiniciar el servidor y luego ocultar puertas traseras y otro malware de la soluci√≥n antivirus instalada.

“Si la herramienta no puede inyectar c√≥digo usando parches en caliente, vuelve a intentar las otras t√©cnicas de inyecci√≥n de c√≥digo m√°s comunes en com√ļn Windows procesos, principalmente dirigidos a winlogon.exe, lsass.exe y svchost.exe “, dijo Microsoft en su informe.

La técnica de hotpatching funciona contra Windows Servidor 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista y Windows 7. Platinum abusó de la técnica en ataques del mundo real para ocultar sus esfuerzos del análisis.

El grupo ha estado utilizando la técnica Hotpatching para instalar las puertas traseras Dipsing, Adbupd y JPIN en redes que pertenecen a organizaciones gubernamentales, incluidas organizaciones de defensa, agencias de inteligencia, diplomáticos y proveedores de servicios de Internet (ISP) y luego robar datos confidenciales.

El objetivo de los ataques no parece haber sido una ganancia financiera inmediata; m√°s bien, el grupo APT Platino est√° haciendo una campa√Īa de espionaje econ√≥mico m√°s amplia utilizando informaci√≥n robada.

El grupo ha estado apuntando a países del sur y sudeste de Asia desde al menos 2009, siendo Malasia su mayor víctima, después de Indonesia, China e India.

Aunque el grupo Platinum todav√≠a est√° activo, todav√≠a hay una forma para que las organizaciones y compa√Ī√≠as eviten la infecci√≥n.

Los expertos en seguridad de Microsoft explican que la técnica de hotpatching requiere permisos de nivel de administrador, por lo que los actores de amenazas envían correos electrónicos de phishing que vienen con documentos de Office atrapados para infectar a cada objetivo.