Platinum APT première à abuser de la fonction de gestion des puce Intel | Threatpost

Les attaquants avancés opérant en Asie du Sud-Est abusent d'une fonctionnalité dans les puces Intel pour charger silencieusement les logiciels malveillants et exploiter des machines compromises.

Microsoft a publié jeudi ses dernières recherches sur un groupe qu'il appelle Platinum, qui est désireux d'utiliser des ressources précédemment inexploitées pour attaquer furtivement les ordinateurs et éviter la détection.

En avril 2016, Microsoft a décrit comment Platinum utilisait une fonctionnalité hotpatching introduite dans Windows Server 2003 (et supprimée par Windows 8) pour injecter un code malveillant dans les processus en cours d'exécution. Les objectifs de Platine sont en grande partie stratégiques: les agences gouvernementales, les entrepreneurs de défense et les agences de renseignement, ainsi que les industries critiques telles que les télécommunications.

Microsoft a déclaré: Platinum dispose d'un outil de transfert de fichiers qui utilise la technologie de gestion active Intel (AMT), en particulier son canal de communication Serial-over-LAN (SOL), pour que les codes malveillants fonctionnent sur une machine ciblée. C'est une première où une APT abuse des chipsets de cette façon, selon Microsoft et Intel.

"Cette chaîne fonctionne indépendamment du système d'exploitation, rendant toute communication sur elle invisible pour les applications de pare-feu et de surveillance réseau en cours d'exécution sur le périphérique hôte", a déclaré Microsoft. "Jusqu'à cet incident, aucun logiciel malveillant n'a été découvert en abusant de la fonctionnalité AMT SOL pour la communication".

Microsoft a informé Intel de ses constatations, et les deux sociétés ont déclaré que ce n'est pas une vulnérabilité dans AMT, mais un abus de ses capacités. Coincidemment, un grave <a …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils