Successivo
Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Security

Titanium, nuovo attacco APT dai cyber-criminali di Platinum group

Alfonso Maruccia | 11 Novembre 2019

Sicurezza

La cyber-gang nota come gruppo Platinum torna alla ribalta con Titanium, un nuovo, complesso attacco APT contro i sistemi Windows […]

La cyber-gang nota come gruppo Platinum torna alla ribalta con Titanium, un nuovo, complesso attacco APT contro i sistemi Windows dotato di caratteristiche a dir poco inquietati. Le “vittime” sono tutte presenti in Asia.

Si chiama Titanium, e rappresenta il ritorno in attività di una nota banda di cyber-criminali specializzata in attacchi di tipo Advanced Persistent Threat (APT). Una tipologia di malware tradizionalmente impiegata per condurre campagne di spionaggio o infettare soggetti specifici, e che nel caso di Titanium si segnala per la complessità dei metodi utilizzati dagli ignoti cracker black hat per raggiungere l’obiettivo.

Kaspersky, la security enterprise moscovita che ha scovato e analizzato la nuova minaccia, ha definito Titanium come uno degli attacchi APT tecnologicamente più avanzati in circolazione. L’attacco adopera una complessa sequenza di drop, download e installazioni pensata per camuffare le operazioni e rendere il malware finale invisibile ai software di sicurezza.

cerber-franchise-mondo-malware

Il primo stadio di Titanium è rappresentato dallo sfruttamento di un exploit in grado di eseguire codice con privilegi di un utente SYSTEM su Windows, poi arriva uno shellcode che si incarica di scaricare un downloader che a sua volta recupera da Internet un archivio autoestraente con all’interno uno script per la creazione di un’operazione pianificata. Il risultato finale dell’intera procedura è l’installazione di un trojan con funzionalità da backdoor “invisibile” all’utente e ai comuni antivirus.

Una volta preso il controllo del sistema, la backdoor di Titanium può ricevere comandi dai server remoti con cui è possibile leggere, cancellare o eseguire qualsiasi file presente sul PC, scaricare nuovi file, aggiornare i parametri di configurazione (a eccezione della chiave crittografica AES) o persino aprire una console interattiva per il controllo remoto in tempo reale.

Kaspersky ha sottolineato lo schema di infezione particolarmente complicato usato da Titanium, con un approccio “file-less” che prevede tra l’altro l’imitazione di programmi legittimi (driver sonori, creazione DVD-video e altro) per avviare l’infezione. L’attacco APT è attivo principalmente nei paesi del sudest asiatico, e al momento non si conoscono attività di spionaggio concrete condotte per mezzo di questa piattaforma malevola.