Группировка Platinum использует систему обновления Windows в атаках на страны Южной и Юго-Восточной Азии

Специалисты команды Windows Defender Advanced Threat Hunting раскрыли некоторые подробности о деятельности группировки, называемой ими Platinum. Группировка специализируется на кибершпионаже и активна как минимум с 2009 года. В основном целью хакеров являются правительственные организации, оборонные предприятия, разведслужбы и интернет-провайдеры из стран Южной и Юго-Восточной Азии, особенно Малайзии, Индонезии и Китая. Хакеров не интересует прямая финансовая выгода, они похищают информацию, которая впоследствии может использоваться для получения определенных экономических преимуществ.

В своих кампаниях Platinum обычно использует узконаправленные фишинговые атаки, эксплоиты для ранее неизвестных уязвимостей в программном обеспечении, а также применяет разработанное ею вредоносное ПО, способное к самоуничтожению. Отметим, бэкдоры активны лишь в рабочее время, чтобы не создавать подозрительный трафик в нерабочие часы. Одним из наиболее интересных моментов является эксплуатация механизма hotpatching, впервые представленного в Windows Server 2003. Данная функция (для ее использования требуются права администратора) позволяет обновлять систему «на лету», без предварительной перезагрузки. В версии Windows 8 возможность установки «горячих патчей» была ликвидирована.

В 2013 году исследователи уже предупреждали о теоретической возможности эксплуатации механизма для неблаговидных целей. По словам экспертов Microsoft, это впервые, когда атаки с применением hotpatching используются на практике. Согласно отчету, Platinum использует технику для скрытого внедрения вредоносного кода в процессы (в основном winlogon.exe, lsass.exe и svchost.exe). Метод позволяет хакерам избежать детектирования практически любыми антивирусными решениями. Если злоумышленникам не удается внедрить код при помощи hotpatching, они применяют более распространенные техники.

Как отмечают исследователи, группировка по-прежнему активна, однако ежегодно совершает только небольшое число кампаний и тщательно заметает следы пребывания в системе, удаляя вредоносные компоненты. Предположительно группа имеет правительственную поддержку, поскольку по всем признакам она хорошо организована, владеет значительными финансовыми возможностями и заинтересована только в информации, полезной государственным структурам.