En breve
El de Microsoft Windows El equipo Defender Advanced Threat Hunting detectó que un grupo de piratas informáticos de ciberespionaje, conocido como PLATINUM, ha encontrado una manera de activar WindowsLa técnica Hotpatching (una forma de actualizar el sistema operativo sin requerir un reinicio) para ocultar su malware de los productos antivirus.
El grupo PLATINUM ha estado activo desde 2009 y ha lanzado ataques a gran escala contra organizaciones gubernamentales, agencias de inteligencia, institutos de defensa y proveedores de telecomunicaciones en el sur y sureste de Asia.
Hablando en términos prácticos, lo más importante para un hacker APT sofisticado y un grupo de espionaje cibernético es permanecer sin ser detectado por el período más largo posible.
Bueno, eso es exactamente lo que ha logrado un grupo APT (Amenaza persistente avanzada).
El de Microsoft Windows Defender Advanced Threat Hunting el equipo descubrió que un grupo APT, denominado Platinum, ha estado espiando a objetivos de alto perfil al abusar de un “novela“técnica llamada Parche caliente.
Introducido en Windows Server 2003, la función Hotpatching le permite a Microsoft actualizar las aplicaciones o el sistema operativo en el sistema en ejecución sin tener que reiniciar la computadora insertando el nuevo código actualizado en un servidor.
El grupo de pirateo Platinum a menudo ha utilizado la técnica de phishing para penetrar inicialmente en las redes objetivo, ha utilizado numerosas vulnerabilidades de día cero en los ataques y ha realizado muchos esfuerzos para ocultar sus ataques.
El último informe publicado por Microsoft dijo que el grupo Platinum abusó del Windows’función de parcheo en caliente, que le permite inyectar código malicioso en los procesos en ejecución sin tener que reiniciar el servidor y luego ocultar puertas traseras y otro malware de la solución antivirus instalada.
“Si la herramienta no puede inyectar código usando parches en caliente, vuelve a intentar las otras técnicas de inyección de código más comunes en común Windows procesos, principalmente dirigidos a winlogon.exe, lsass.exe y svchost.exe “, dijo Microsoft en su informe.
La técnica de hotpatching funciona contra Windows Servidor 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista y Windows 7. Platinum abusó de la técnica en ataques del mundo real para ocultar sus esfuerzos del análisis.
El grupo ha estado utilizando la técnica Hotpatching para instalar las puertas traseras Dipsing, Adbupd y JPIN en redes que pertenecen a organizaciones gubernamentales, incluidas organizaciones de defensa, agencias de inteligencia, diplomáticos y proveedores de servicios de Internet (ISP) y luego robar datos confidenciales.
El objetivo de los ataques no parece haber sido una ganancia financiera inmediata; más bien, el grupo APT Platino está haciendo una campaña de espionaje económico más amplia utilizando información robada.
El grupo ha estado apuntando a países del sur y sudeste de Asia desde al menos 2009, siendo Malasia su mayor víctima, después de Indonesia, China e India.
Aunque el grupo Platinum todavía está activo, todavía hay una forma para que las organizaciones y compañías eviten la infección.
Los expertos en seguridad de Microsoft explican que la técnica de hotpatching requiere permisos de nivel de administrador, por lo que los actores de amenazas envían correos electrónicos de phishing que vienen con documentos de Office atrapados para infectar a cada objetivo.
