白金黑客劫持Windows热补丁以保持隐藏

实际上，对于一个老练的APT黑客和一个网络间谍组织来说，最重要的事情是尽可能长的时间不被发现。

这正是APT（高级持续威胁）团队所取得的成就。

微软的Windows Defender高级威胁搜索研究小组发现，一个名为“白金”的APT组织，一直在通过滥用小说“技术叫热修补.

Windows Server 2003中引入的热补丁功能允许Microsoft升级运行系统中的应用程序或操作系统，而无需通过将新的更新代码插入服务器来重新启动计算机。

白金黑客集团经常使用矛式网络钓鱼技术来渗透目标网络，在攻击中使用了大量零日漏洞，并采取了许多措施来隐藏其攻击。

微软发布的最新报告称，Platinum group滥用了Windows的热补丁功能，允许它在运行过程中注入恶意代码，而无需重新启动服务器，然后在安装的防病毒解决方案中隐藏后门和其他恶意软件。

微软在报告中说：“如果该工具无法使用热补丁注入代码，它将恢复尝试其他更常见的代码注入技术，主要针对winlogon.exe、lsass.exe和svchost.exe。”。

热补丁技术适用于Windows Server 2003 Service Pack 1、Windows Server 2008、Windows Server 2008 R2、Windows Vista和Windows 7。Platinum在现实世界的攻击中滥用了这项技术，以隐藏其分析工作。

该组织一直在使用热补丁技术，在属于政府组织的网络上安装Dipsing、Adbupd和JPIN后门，包括国防组织、情报机构、外交官和互联网服务提供商（ISP），然后窃取敏感数据。

袭击的目标似乎不是直接的经济利益；相反，白金APT集团正在利用窃取的信息开展更广泛的经济间谍活动。

至少自2009年以来，该组织一直将目标对准南亚和东南亚国家，马来西亚是最大的受害者，仅次于印度尼西亚、中国和印度。

尽管铂金集团仍然活跃，但各组织和公司仍有办法避免感染。

微软的安全专家解释说，热补丁技术需要管理员级别的权限，因此威胁参与者正在发送带有陷阱的Office文档的矛式钓鱼电子邮件，以感染每个目标。