微软安全团队披露称发现一个新的APT组织自2009年起就对东南亚国家进行攻击。
按照微软对APT组织的命名规则(按照化学元素命名),该APT组织被称为“白金”。这个APT组织因使用热补技术而鹤立鸡群。
什么是Windows 热补技术?
热补技术允许微软发布更新,在不重启计算机的情况下接进活跃进程并更新应用程序或操作系统。这个功能出现于Windows Server 2003中,随后在Win 8中删除。此前从未有攻击利用过这种技术,不过安全研究人员在多个安全会议上都证实了其巨大的杀伤力。
热补用于躲避杀毒检测并修复后门
微软在一份关于“白金”APT的详细报告中指出,该组织利用热补技术安装并随后在受害者的杀毒解决方案中隐藏了后门和其它恶意软件。
从本质和设计上来看,热补并没有被安全产品所关注。这就允许“白金”APT向目标推送恶意更新、抵消多种功能,并允许恶意人员访问敏感计算机。微软表示,该APT利用这种技术将Dipsing、Adbupd和JPIN后门安装到不同组织机构的网络中,包括政府组织、国防部门、情报机构和通信提供商。多数被攻击目标位于东南亚地区,而最近的攻击发生在马来西亚、印度、中国和印度尼西亚。
热补运行需要获取管理员权限
微软表示该APT组织依然处于活跃状态,不过企业也可采取相关措施避免感染。微软安全专家表示热补运行需要以管理员用户的身份运行,也就是说“白金”APT组织首先必须感染每个目标。
微软在报告中指出,这个APT组织一直通过鱼叉式钓鱼邮件的方式利用恶意Office文档的方式达成目标。当打开这些恶意文档时,它们就会利用已知漏洞或者之前未曾出现过的0day漏洞利用获取管理员权限的恶意软件感染计算机,并随后进行恶意热补操作。
微软表示收集并利用这些0day漏洞的金钱投入非常大,也就是说这个组织可能是由一个大型犯罪团伙或受国家支持。
热补作为一种技术来讲并非Windows设备所独有。网络犯罪分子去年秋和去年冬利用该技术绕过苹果应用商店的审计进程向iOS app推送恶意更新。