首次发现使用Intel AMT工具绕过防火墙窃取数据的恶意软件

然而，一个名为铂金“至少自2009年以来，该公司一直在积极针对政府组织、国防机构和电信提供商，并找到了一种方法，可以在基于主机的保护机制中隐藏其恶意活动。

微软最近发现，该网络间谍组织现在正在利用Intel的主动管理技术（AMT）LAN串行（SOL）通道作为文件传输工具，在未被发现的情况下从目标计算机窃取数据。

基于英特尔的芯片组附带了一种名为AMT的嵌入式技术，该技术旨在让IT管理员远程管理和维修其组织的PC、工作站和服务器。

英特尔AMT技术独立于操作系统运行，即使在系统关闭时也能工作，只要平台连接到线路电源和网络电缆。

这意味着，当启用AMT时，发送到PC有线网络端口的任何数据包都将重定向到管理引擎，并传递到AMT；操作系统以及安装在系统上的网络监控应用程序永远不知道发生了什么。

此外，使用英特尔芯片和AMT的Linux系统也可能会暴露于Platinum的恶意软件中。

“由于该嵌入式处理器独立于英特尔主处理器，即使主处理器断电，它也可以执行，因此能够提供带外（OOB）远程管理功能，如远程电源循环和键盘、视频和鼠标控制（KVM），”微软说。

“此外，由于SOL流量绕过主机网络堆栈，主机设备上运行的防火墙应用程序无法阻止它。要启用SOL功能，必须配置设备AMT。”

与上个月发现的远程身份验证缺陷不同，该缺陷使黑客能够通过使用AMT功能完全控制系统，而无需任何密码，Platinum不利用AMT中的任何缺陷，而是要求在受感染的系统上启用AMT。

微软指出，SOL session需要用户名和密码，因此黑客组织或是在使用窃取的凭据，使其恶意软件与C&amp；C服务器，或“在配置过程中，PLATINUM可以选择他们想要的用户名和密码。”
白金黑客集团一直在使用零日漏洞攻击、热补丁技术和其他先进战术渗透其在南亚国家的目标系统和网络，但这是首次有人滥用合法的管理工具来逃避检测。

微软表示，它已经更新了自己的Windows Defender高级威胁保护软件，该软件将提醒网络管理员任何恶意尝试使用AMT SOL的行为，但仅适用于运行Windows操作系统的系统。