Хакеры используют систему обновления Windows для внедрения вредоносного ПО

Хакерская группировка Platinum, которая организует кибератаки и кибершпионаж против правительственных учреждений, спецслужб, оборонных предприятий и интернет-провайдеров преимущественно в странах Южной и Юго-восточной Азии использовали систему обновлений Windows против самой операционной системы. Хакеры применяют в своих кампаниях разные 0-day уязвимости и даже используют инновационные техники атак, к примеру, технику hotpatching. Исследователи Microsoft сообщают, что от действий Platinum больше всего пострадали Малайзия, Китай, Индия и Индонезия. Вероятно хакеры имеют правительственную или иную поддержку, так как недостатка в финансировании они определенно не испытывают.

Различные техники, используемые Platinum, подробно описаны в докладе, представленном командой исследователей Windows Defender Advanced Threat Hunting. Злоумышленники начинают с узконаправленного фишинга, а затем применяют 0-day уязвимости и вредоносные программы собственного производства. Члены Platinum активно используют самоуничтожающиеся вирусы-черви и программное обеспечение, которое активно лишь в рабочее часы, чтобы не создавать подозрительного трафика в нерабочее время. Специалисты Microsoft особо подчеркиваеют, что группа Platinum эксплуатирует для атак функцию hotpatching, которая впервые была представлена в Windows Server 2003, а затем была удалена из состава ОС во время релиза Windows 8. Именно hotpatching позволяет Microsoft устанавливать обновления без перезагрузки системы. Для использования функции нужны права администратора, которые позволят применять патчи к исполняемым файлам и DLL активных процессов.

Еще в 2006 и 2013 годах исследователи предупреждали, что в теории эта функция может быть использована злоумышленниками во вред. Но только сейчас, в свежем отчете о деятельности группы Platinum, специалисты Microsoft сообщили, что атаки с примирением hotpatching используются на практике. Platinum использует hotpatching для скрытого внедрения вредоносного кода в процессы. Методика позволяет хакерам избежать обнаружения практическим любыми антивирусными продуктами, так как те следят, чтобы процессы не подвергались инъекциям по совсем другим, более распространенным методикам. К примеру, всё это позволяет злоумышленникам внедрить бекдор в процессы winlogon.exe, lsass.exe или svchost.exe. Хакеры на протяжении долгого времени закрепляли свое присутствие в системах компаний-жертв, оставались при этом незамеченными.