Bankovní trojan Blackmoon
Analytici kybernetické bezpečnosti odhalili aktivní vícestupňovou kampaň zameranou na indické jednotlivce a organizace. Operace se jeví jako kybernetická špionáž a spoléhá na vícevrstvý systém zadních vrátek, který umožňuje dlouhodobý a tajný přístup k napadeným systémům.
Obsah
Phishing jako počáteční vektor infekce
Kampaň začíná phishingovými e-maily maskovanými jako oficiální korespondence od indického daňového úřadu. Tyto zprávy lákají příjemce ke stažení ZIP archivu pod záminkou daňových výměrů. Po otevření archivu se spustí infekční řetězec, který nakonec umožňuje neustálé sledování a krádež dat.
Zbraňovaný archiv a nenápadná poprava
Doručený ZIP soubor obsahuje pět komponent, všechny skryté kromě návnadového spustitelného souboru s názvem „Inspection Document Review.exe“. Tento soubor je zneužit k načtení škodlivé dynamicky linkované knihovny vložené do archivu. Falešná DLL provádí kontroly obcházení ladicího programu a komunikuje se vzdáleným command-and-control serverem, aby načetla další datovou část.
Eskalace oprávnění a maskování procesů
Stažený shellcode využívá techniku založenou na architektuře COM k obcházení Řízení uživatelských účtů (UAC) a udělování zvýšených oprávnění. Poté upraví svůj vlastní blok procesního prostředí (PEB) tak, aby se vydával za legitimní proces Windows explorer.exe, čímž snižuje pravděpodobnost odhalení bezpečnostními nástroji a analytiky.
Adaptivní doručování užitečného zatížení
V další fázi je z domény eaxwwyr[.]cn načten soubor „180.exe“. Tento soubor je 32bitový instalační program Inno Setup, který upravuje svůj postup provádění v závislosti na tom, zda je na infikovaném hostiteli přítomen specifický bezpečnostní software, což malwaru umožňuje dynamicky upravovat taktiky úniku.
Bezpečnostní software pro úniky a propojení s Blackmoonem
Když je detekován obranný software, malware se vyhne přímé deaktivaci. Místo toho simuluje pohyby myši pro navigaci v bezpečnostním rozhraní a nenápadně přidává škodlivé komponenty do seznamu vyloučených komponent. Tuto aktivitu usnadňuje knihovna DLL, která je považována za variantu malwarové rodiny Blackmoon (KRBanker), která je od svého vzniku v roce 2015 historicky spojována s útoky na firmy v Jižní Koreji, Spojených státech a Kanadě.
Zneužití legitimního nástroje podniku
Jedním ze souborů přidaných do seznamu vyloučených je „Setup.exe“, legitimní nástroj od společnosti SyncFutureTec Company Limited. Tento program odstraňuje „mysetup.exe“, identifikovaný jako SyncFuture TSM (Terminal Security Management), komerční řešení pro vzdálené monitorování a správu vyvinuté společností Nanjing Zhongke Huasai Technology Co., Ltd. Ačkoli je navrženo pro podnikovou správu, v této kampani je znovu využito jako komplexní špionážní platforma.
Podpůrné komponenty a manipulace se systémem
Po nasazení se instalují další prvky pro přípravu a řízení prostředí:
- Dávkové skripty, které vytvářejí vlastní adresáře, upravují seznamy řízení přístupu, mění oprávnění plochy a provádějí úlohy čištění a obnovy.
- Spustitelný soubor orchestratoru s názvem „MANC.exe“, který koordinuje služby a umožňuje rozsáhlé protokolování aktivit.
Provozní dopad a strategický význam
Zneužitím legitimního podnikového nástroje spolu s vlastním malwarem získávají operátoři vzdálenou kontrolu nad infikovanými koncovými body, nepřetržitý přehled o aktivitě uživatelů a centralizovaný mechanismus pro exfiltraci citlivých dat. Koordinované používání bočního načítání DLL, eskalace oprávnění, opětovného využití komerčních nástrojů, opatření proti analýze a obcházení bezpečnostního softwaru odráží vysoký stupeň technické vyspělosti a jasný záměr udržovat trvalou a detailní kontrolu nad napadenými systémy.
