Blackmooni pangandustroojalane
Küberjulgeolekuanalüütikud on paljastanud aktiivse mitmeastmelise sissetungimiskampaania, mis on suunatud India üksikisikutele ja organisatsioonidele. Operatsioon näib olevat küberspionaaž ja tugineb kihilisele tagaukse raamistikule, et saada pikaajaline ja salajane juurdepääs ohustatud süsteemidele.
Sisukord
Andmepüük kui esmane nakkusvektor
Kampaania algab õngitsuskirjadega, mis maskeeruvad India tulumaksuameti ametlikuks kirjavahetuseks. Need sõnumid meelitavad saajaid maksutrahvide ettekäändel ZIP-arhiivi alla laadima. Pärast arhiivi avamist käivitab see nakkusahela, mis võimaldab lõpuks pidevat jälgimist ja andmete varastamist.
Relvastatud arhiiv ja salajane hukkamine
Kohaletoimetatud ZIP-fail sisaldab viit komponenti, mis on kõik peidetud, välja arvatud peibutusfail nimega „Inspection Document Review.exe”. Seda faili kuritarvitatakse arhiivi manustatud pahatahtliku dünaamilise lingiteegi külglaadimiseks. Pahatahtlik DLL teostab silumiskontrolli ja suhtleb kaugjuhtimisserveriga, et hankida järgmise etapi kasulik koormus.
Privileegide eskaleerimine ja protsesside maskeerimine
Allalaaditud shellkood kasutab COM-põhist tehnikat, et mööda hiilida kasutajakonto kontrollist (UAC), andes kõrgendatud õigusi. Seejärel muudab see oma protsessikeskkonna blokeerimist (PEB), et jäljendada õigustatud Windows explorer.exe protsessi, vähendades seeläbi turvatööriistade ja analüütikute poolt avastamise tõenäosust.
Adaptiivne kasuliku koormuse kohaletoimetamine
Järgmine etapp, fail „180.exe”, laaditakse domeenilt eaxwwyr[.]cn. See fail on 32-bitine Inno Setupi installifail, mis muudab oma täitmisvoogu olenevalt sellest, kas nakatunud hostil on olemas konkreetne turvatarkvara, võimaldades pahavaral oma põgenemistaktikat dünaamiliselt kohandada.
Turvatarkvara kõrvalehoidumine ja Blackmooni seos
Kaitsetarkvara tuvastamisel väldib pahavara otsest deaktiveerimist. Selle asemel simuleerib see hiire liigutusi, et navigeerida turvaliideses ja lisada pahatahtlikke komponente vaikselt välistamisloendisse. Seda tegevust hõlbustab DLL-fail, mis on hinnatud Blackmooni (KRBanker) pahavara perekonna variandiks, mida on ajalooliselt seostatud ettevõtete ründamisega Lõuna-Koreas, Ameerika Ühendriikides ja Kanadas alates selle ilmumisest 2015. aastal.
Seadusliku ettevõtte tööriista kuritarvitamine
Üks välistamisloendisse lisatud failidest on „Setup.exe”, mis on SyncFutureTec Company Limitedi legitiimne utiliit. See programm eemaldab faili „mysetup.exe”, mis on identifitseeritud kui SyncFuture TSM (Terminal Security Management) – see on Nanjing Zhongke Huasai Technology Co., Ltd. väljatöötatud kommertslik kaugseire- ja halduslahendus. Kuigi see on loodud ettevõtte administreerimiseks, kasutatakse seda selles kampaanias tervikliku spionaažiplatvormina.
Toetavad komponendid ja süsteemi manipuleerimine
Pärast juurutamist paigaldatakse keskkonna ettevalmistamiseks ja juhtimiseks täiendavaid elemente:
- Pakktöötlusskriptid, mis loovad kohandatud katalooge, muudavad juurdepääsuloendeid, muudavad töölaua õigusi ning teostavad puhastus- ja taastamisülesandeid.
- Orkestraatori käivitatav fail „MANC.exe”, mis koordineerib teenuseid ja võimaldab ulatuslikku tegevuste logimist.
Operatiivne mõju ja strateegiline tähtsus
Kuritarvitades legitiimset ettevõtte tööriista koos kohandatud pahavaraga, saavutavad operaatorid nakatunud lõpp-punktide üle kaugkontrolli, pideva ülevaate kasutajate tegevusest ja tsentraliseeritud mehhanismi tundlike andmete väljaviimiseks. DLL-ide külglaadimise, privileegide eskaleerimise, kommertstööriistade ümberjaotamise, analüüsivastaste meetmete ja turvatarkvarast kõrvalehoidumise koordineeritud kasutamine peegeldab kõrget tehnilist küpsust ja selget kavatsust säilitada püsiv ja detailne kontroll ohustatud süsteemide üle.
