O Titanium APT é um dos grupos de hackers tecnologicamente avançados, que usam várias técnicas sofisticadas para atacar o alvo, e seu método de ataque dificulta a detecção de suas atividades em geral.
Além disso, o sistema de arquivos de malware não pode ser detectado como malicioso devido ao uso de criptografia e tecnologias sem arquivos (fileless) para infectar as vítimas.
O APT de titânio está direcionado principalmente à região da APAC e o atual ataque acredita-se estar focado no sul e sudeste da Ásia.
Pesquisadores da Kaspersky descobriram que o malware se oculta a cada passo imitando um software comum (relacionado à proteção, software de drivers de som, ferramentas de criação de vídeo em DVD).
Estágios de infecção de backdoor de titânio APT
Antes de instalar um backdoor em um computador Windows no estágio final, os autores da ameaça seguem sequências complexas de estágios de remoção, download e instalação.
Durante esse processo, em todas as etapas, eles imitam softwares conhecidos, como software de segurança, software para gravação de vídeos em DVD, software de drivers de som para evitar a detecção.
Os pesquisadores acreditam que os atacantes usam o site da intranet local com código malicioso para espalhar o malware.
De outra maneira, o Titanium APT injeta o código de shell em um processo chamado winlogon.exe, um arquivo de processo legítimo conhecido popularmente como Aplicativo de Logon do Windows que executa uma variedade de tarefas críticas relacionadas ao processo de entrada do Windows, informou a Kaspersky através do blog.
O próprio código de shell contém um código independente conectado ao endereço C&C codificado, que faz o download de uma carga criptografada e depois a descriptografa e o inicia usando uma senha de descompactação codificada.
Os autores da Titanium Threat sempre têm o hábito de usar as DLLs do Wrapper para descriptografar e carregar um arquivo criptografado na memória do sistema.
Para manter a persistência na máquina da vítima, a ameaça é ativada usando o instalador de tarefas do Windows, um arquivo SFX criptografado por senha que pode ser baixado via BITS Downloader.
A biblioteca de downloads do BITS ajuda a baixar arquivos em formato criptografado da C&C e a iniciá-los.
Instalando o Backdoor
No estágio final, no processo de instalação de um backdoor, os atacantes usam o instalador de Trojan-Backdoor que foi iniciado a partir da linha de comando usando uma senha para descompactá-lo.
O instalador recebe um comando do servidor C2 enviando uma solicitação vazia ao servidor C2, e o malware também pode obter configurações de proxy no Internet Explorer .
Em resposta, o C2 Server envia um arquivo PNG que contém dados esteganograficamente ocultos. Esses dados são criptografados com a mesma chave que as solicitações de C&C. Os dados descriptografados contêm comandos de backdoor para roubar os dados das vítimas infectadas.
Fonte: Kaspersky
