Blackmoon Banking Trojan
Cybersikkerhedsanalytikere har afdækket en aktiv flertrinsindbrudskampagne rettet mod indiske enkeltpersoner og organisationer. Operationen ser ud til at være af cyberspionage-karakter og er afhængig af en lagdelt bagdørsstruktur for at opnå langvarig, hemmelig adgang til kompromitterede systemer.
Indholdsfortegnelse
Phishing som den indledende infektionsvektor
Kampagnen starter med phishing-e-mails, der udgiver sig for at være officiel korrespondance fra Indiens indkomstskattemyndighed. Disse beskeder lokker modtagerne til at downloade et ZIP-arkiv under påskud af skattebøder. Når arkivet åbnes, starter det infektionskæden, der i sidste ende muliggør vedvarende overvågning og datatyveri.
Våbenbeskyttet arkiv og skjult henrettelse
Den leverede ZIP-fil indeholder fem komponenter, alle skjulte undtagen en eksekverbar fil med navnet 'Inspection Document Review.exe'. Denne fil misbruges til at sideloade et ondsindet dynamisk linkbibliotek, der er indlejret i arkivet. Den uønskede DLL udfører debugger-undgåelseskontroller og kommunikerer med en fjern kommando- og kontrolserver for at hente næste-trins nyttelast.
Privilegieeskalering og procesmaskering
Den downloadede shellcode udnytter en COM-baseret teknik til at omgå brugerkontokontrol (UAC) og give forhøjede rettigheder. Den ændrer derefter sin egen procesmiljøblok (PEB) for at efterligne den legitime Windows explorer.exe-proces, hvilket reducerer sandsynligheden for opdagelse af sikkerhedsværktøjer og analytikere.
Adaptiv nyttelastlevering
Et efterfølgende trin, '180.exe', hentes fra domænet eaxwwyr[.]cn. Denne fil er et 32-bit Inno Setup-installationsprogram, der ændrer dets udførelsesflow afhængigt af, om der er specifik sikkerhedssoftware til stede på den inficerede vært, hvilket giver malwaren mulighed for dynamisk at justere sine undvigelsestaktikker.
Sikkerhedssoftwareunddragelse og Blackmoon-forbindelse
Når der registreres defensiv software, undgår malwaren direkte deaktivering. I stedet simulerer den musebevægelser for at navigere i sikkerhedsgrænsefladen og tilføjer i stilhed skadelige komponenter til udelukkelseslisten. Denne aktivitet muliggøres af en DLL, der vurderes at være en variant af Blackmoon (KRBanker) malwarefamilien, som historisk set har været forbundet med angreb på virksomheder i Sydkorea, USA og Canada siden dens fremkomst i 2015.
Misbrug af et legitimt virksomhedsværktøj
En af de filer, der er føjet til udelukkelseslisten, er 'Setup.exe', et legitimt værktøj fra SyncFutureTec Company Limited. Dette program fjerner 'mysetup.exe', identificeret som SyncFuture TSM (Terminal Security Management), en kommerciel fjernovervågnings- og administrationsløsning udviklet af Nanjing Zhongke Huasai Technology Co., Ltd. Selvom den er designet til virksomhedsadministration, er den i denne kampagne genbrugt som en omfattende spionageplatform.
Støttende komponenter og systemmanipulation
Efter implementeringen installeres yderligere elementer for at forberede og kontrollere miljøet:
- Batch-scripts, der opretter brugerdefinerede mapper, ændrer adgangskontrollister, ændrer skrivebordstilladelser og udfører oprydnings- og gendannelsesopgaver.
- En orchestrator-eksekverbar fil, 'MANC.exe', som koordinerer tjenester og muliggør omfattende aktivitetslogning.
Operationel indflydelse og strategisk betydning
Ved at misbruge et legitimt virksomhedsværktøj sammen med brugerdefineret malware får operatørerne fjernkontrol over inficerede endpoints, kontinuerlig indsigt i brugeraktivitet og en centraliseret mekanisme til udvinding af følsomme data. Den koordinerede brug af DLL-sideloading, privilegieeskalering, genbrug af kommercielle værktøjer, anti-analyseforanstaltninger og unddragelse af sikkerhedssoftware afspejler en høj grad af teknisk modenhed og en klar intention om at opretholde vedvarende, detaljeret kontrol over kompromitterede systemer.
