Blackmoon Banking Trojan

كشف محللو الأمن السيبراني عن حملة اختراق نشطة ومتعددة المراحل تستهدف أفرادًا ومنظمات هندية. ويبدو أن العملية ذات طبيعة تجسس إلكتروني، وتعتمد على بنية خلفية متعددة الطبقات للحصول على وصول سري طويل الأمد إلى الأنظمة المخترقة.

التصيد الاحتيالي كناقل أولي للعدوى

تبدأ الحملة برسائل بريد إلكتروني تصيدية تنتحل صفة مراسلات رسمية من مصلحة الضرائب الهندية. تغري هذه الرسائل المستلمين بتحميل ملف مضغوط (ZIP) بحجة إشعارات غرامات ضريبية. بمجرد فتح الملف، يبدأ سلسلة من عمليات الاختراق التي تُمكّن في النهاية من المراقبة المستمرة وسرقة البيانات.

أرشيف مُسلّح وتنفيذ خفي

يحتوي ملف ZIP المُرسل على خمسة مكونات، جميعها مخفية باستثناء ملف تنفيذي وهمي باسم "Inspection Document Review.exe". يُستغل هذا الملف لتحميل مكتبة ارتباط ديناميكي خبيثة مضمنة في الأرشيف. تقوم مكتبة الارتباط الديناميكي الخبيثة بإجراء فحوصات لتجنب برامج تصحيح الأخطاء، وتتواصل مع خادم تحكم عن بُعد لاسترجاع حمولة المرحلة التالية.

تصعيد الامتيازات وإخفاء العمليات

يستغل الكود الخبيث الذي تم تنزيله تقنية تعتمد على COM لتجاوز التحكم في حساب المستخدم (UAC)، مما يمنحه صلاحيات موسعة. ثم يقوم بتعديل كتلة بيئة العملية (PEB) الخاصة به لانتحال شخصية عملية Windows explorer.exe الشرعية، مما يقلل من احتمالية اكتشافه بواسطة أدوات الأمن والمحللين.

توصيل الحمولة التكيفي

يتم جلب المرحلة اللاحقة، '180.exe'، من النطاق eaxwwyr[.]cn. هذا الملف عبارة عن برنامج تثبيت Inno Setup 32 بت يقوم بتعديل مسار تنفيذه بناءً على وجود برامج أمان محددة على الجهاز المصاب، مما يسمح للبرمجية الخبيثة بتعديل أساليب التهرب الخاصة بها بشكل ديناميكي.

التهرب من برامج الحماية والربط بين بلاكمون

عند اكتشاف برامج الحماية، يتجنب البرنامج الخبيث تعطيله مباشرةً. بدلاً من ذلك، يحاكي حركات الماوس للتنقل في واجهة الأمان وإضافة مكونات خبيثة إلى قائمة الاستثناءات خلسةً. يتم تسهيل هذا النشاط بواسطة ملف DLL يُعتقد أنه أحد أنواع عائلة برامج Blackmoon (KRBanker) الخبيثة، والتي ارتبطت تاريخياً بهجمات على شركات في كوريا الجنوبية والولايات المتحدة وكندا منذ ظهورها عام 2015.

إساءة استخدام أداة مشروعة للمؤسسات

أحد الملفات المضافة إلى قائمة الاستثناءات هو "Setup.exe"، وهو برنامج شرعي من شركة SyncFutureTec المحدودة. يقوم هذا البرنامج بتثبيت "mysetup.exe"، المعروف باسم SyncFuture TSM (إدارة أمن المحطات الطرفية)، وهو حل تجاري للمراقبة والإدارة عن بُعد، طورته شركة Nanjing Zhongke Huasai Technology المحدودة. على الرغم من أنه مصمم لإدارة المؤسسات، إلا أنه يُستخدم في هذه الحملة كمنصة تجسس شاملة.

المكونات الداعمة ومعالجة النظام

بعد النشر، يتم تثبيت عناصر إضافية لإعداد البيئة والتحكم بها:

• البرامج النصية المجمعة التي تنشئ أدلة مخصصة، وتعدل قوائم التحكم في الوصول، وتغير أذونات سطح المكتب، وتنفذ مهام التنظيف والاستعادة.
• ملف تنفيذي للمنسق، 'MANC.exe'، يقوم بتنسيق الخدمات ويتيح تسجيل الأنشطة بشكل شامل.

الأثر التشغيلي والأهمية الاستراتيجية

من خلال استغلال أداة مؤسسية مشروعة بالتزامن مع برمجيات خبيثة مصممة خصيصًا، يحصل المشغلون على تحكم عن بُعد في نقاط النهاية المصابة، ورؤية مستمرة لنشاط المستخدم، وآلية مركزية لتسريب البيانات الحساسة. ويعكس الاستخدام المنسق لتحميل ملفات DLL الجانبية، ورفع مستوى الصلاحيات، وإعادة توظيف الأدوات التجارية، وتدابير مكافحة التحليل، والتهرب من برامج الأمان، مستوى عالٍ من النضج التقني، ورغبة واضحة في الحفاظ على سيطرة دقيقة ومستمرة على الأنظمة المخترقة.