Банков троянец Blackmoon
Анализатори по киберсигурност разкриха активна многоетапна кампания за проникване, насочена към индийски лица и организации. Операцията изглежда е кибершпионаж по своята същност и разчита на многопластова система за задна врата, за да получи дългосрочен, скрит достъп до компрометирани системи.
Съдържание
Фишингът като първоначален вектор на заразяване
Кампанията започва с фишинг имейли, маскирани като официална кореспонденция от Министерството на доходите на Индия. Тези съобщения подмамват получателите да изтеглят ZIP архив под претекст, че са глоби за данъци. След отваряне архивът инициира веригата на заразяване, която в крайна сметка позволява постоянно наблюдение и кражба на данни.
Въоръжен архив и скрито изпълнение
Доставеният ZIP файл съдържа пет компонента, всички скрити с изключение на изпълним файл-примамка, наречен „Inspection Document Review.exe“. Този файл се използва за странично зареждане на злонамерена динамична библиотека, вградена в архива. Измамната DLL библиотека извършва проверки за избягване на дебъгери и комуникира с отдалечен сървър за командване и контрол, за да извлече полезния товар от следващия етап.
Ескалация на привилегии и маскиране на процеси
Изтегленият шелкод използва COM-базирана техника, за да заобиколи контрола на потребителските акаунти (UAC), предоставяйки повишени привилегии. След това той променя собствения си блок на средата на процеса (PEB), за да се имитира като легитимен процес Windows explorer.exe, намалявайки вероятността от откриване от инструменти за сигурност и анализатори.
Адаптивна доставка на полезен товар
Следващ етап, „180.exe“, се извлича от домейна eaxwwyr[.]cn. Този файл е 32-битов инсталатор на Inno Setup, който променя потока си на изпълнение в зависимост от това дали на заразения хост е наличен специфичен софтуер за сигурност, което позволява на зловредния софтуер динамично да коригира тактиките си за избягване.
Избягване на софтуер за сигурност и свързване с Blackmoon
Когато бъде открит защитен софтуер, зловредният софтуер избягва директното деактивиране. Вместо това, той симулира движения на мишката, за да навигира в интерфейса за сигурност и тихо добавя злонамерени компоненти към списъка с изключения. Тази дейност се улеснява от DLL, оценен като вариант на семейството злонамерен софтуер Blackmoon (KRBanker), исторически свързано с атаки срещу бизнеси в Южна Корея, Съединените щати и Канада от появата му през 2015 г.
Злоупотреба с легитимен инструмент на предприятието
Един от файловете, добавени към списъка с изключения, е „Setup.exe“, легитимна програма от SyncFutureTec Company Limited. Тази програма премахва „mysetup.exe“, идентифициран като SyncFuture TSM (Terminal Security Management), търговско решение за дистанционно наблюдение и управление, разработено от Nanjing Zhongke Huasai Technology Co., Ltd. Въпреки че е проектирано за корпоративна администрация, в тази кампания то е пренасочено като цялостна платформа за шпионаж.
Поддържащи компоненти и системна манипулация
След внедряването се инсталират допълнителни елементи за подготовка и контрол на средата:
- Пакетни скриптове, които създават персонализирани директории, променят списъци за контрол на достъпа, променят разрешенията на работния плот и изпълняват задачи за почистване и възстановяване.
- Изпълним оркестраторски файл „MANC.exe“, който координира услугите и позволява обширно регистриране на активността.
Оперативно въздействие и стратегическо значение
Чрез злоупотреба с легитимен корпоративен инструмент, наред със собствен зловреден софтуер, операторите получават дистанционен контрол над заразените крайни точки, непрекъсната видимост върху потребителската активност и централизиран механизъм за извличане на чувствителни данни. Координираното използване на странично зареждане на DLL файлове, ескалация на привилегиите, пренасочване на търговски инструменти, мерки против анализ и избягване на софтуер за сигурност отразява висока степен на техническа зрялост и ясно намерение за поддържане на постоянен, детайлен контрол върху компрометираните системи.
