تروجان بانکی بلک‌مون

تحلیلگران امنیت سایبری یک کمپین نفوذ چند مرحله‌ای فعال را کشف کرده‌اند که افراد و سازمان‌های هندی را هدف قرار داده است. به نظر می‌رسد این عملیات ماهیت جاسوسی سایبری دارد و برای دسترسی طولانی مدت و پنهانی به سیستم‌های آسیب‌پذیر، به یک چارچوب در پشتی لایه‌ای متکی است.

فیشینگ به عنوان بردار اولیه آلودگی

این کمپین با ایمیل‌های فیشینگی که خود را به عنوان مکاتبات رسمی از اداره مالیات بر درآمد هند جا می‌زنند، آغاز می‌شود. این پیام‌ها گیرندگان را به دانلود یک آرشیو ZIP به بهانه‌ی اخطارهای جریمه مالیاتی ترغیب می‌کنند. پس از باز شدن، آرشیو زنجیره‌ی آلودگی را آغاز می‌کند که در نهایت امکان نظارت مداوم و سرقت داده‌ها را فراهم می‌کند.

بایگانی تسلیحاتی و اعدام مخفیانه

فایل زیپ تحویل داده شده شامل پنج جزء است که همگی به جز یک فایل اجرایی فریبنده به نام «Inspection Document Review.exe» پنهان هستند. این فایل برای بارگذاری جانبی یک کتابخانه لینک پویای مخرب تعبیه شده در آرشیو مورد سوءاستفاده قرار می‌گیرد. این DLL جعلی، بررسی‌های گریز از اشکال‌زدایی را انجام می‌دهد و با یک سرور کنترل و فرمان از راه دور ارتباط برقرار می‌کند تا بار داده مرحله بعدی را بازیابی کند.

افزایش امتیاز و پنهان‌سازی فرآیند

شل‌کد دانلود شده از یک تکنیک مبتنی بر COM برای دور زدن کنترل حساب کاربری (UAC) استفاده می‌کند و امتیازات بالایی را اعطا می‌کند. سپس بلوک محیط فرآیند (PEB) خود را تغییر می‌دهد تا فرآیند قانونی explorer.exe ویندوز را جعل کند و احتمال شناسایی توسط ابزارهای امنیتی و تحلیلگران را کاهش دهد.

تحویل بار تطبیقی

مرحله‌ی بعدی، «180.exe»، از دامنه‌ی eaxwwyr[.]cn واکشی می‌شود. این فایل یک نصب‌کننده‌ی Inno Setup 32 بیتی است که جریان اجرای خود را بسته به وجود نرم‌افزار امنیتی خاص روی میزبان آلوده تغییر می‌دهد و به بدافزار اجازه می‌دهد تا تاکتیک‌های فرار خود را به صورت پویا تنظیم کند.

فرار از نرم‌افزارهای امنیتی و ارتباط بلک‌مون

وقتی نرم‌افزار دفاعی شناسایی می‌شود، بدافزار از غیرفعال‌سازی مستقیم اجتناب می‌کند. در عوض، حرکات ماوس را برای پیمایش رابط امنیتی شبیه‌سازی می‌کند و بی‌سروصدا اجزای مخرب را به لیست حذف اضافه می‌کند. این فعالیت توسط یک DLL تسهیل می‌شود که به عنوان گونه‌ای از خانواده بدافزار Blackmoon (KRBanker) ارزیابی می‌شود، که از زمان ظهورش در سال ۲۰۱۵، از نظر تاریخی با حملات به مشاغل در کره جنوبی، ایالات متحده و کانادا مرتبط بوده است.

سوءاستفاده از یک ابزار سازمانی قانونی

یکی از فایل‌هایی که به لیست حذف اضافه شده است، «Setup.exe» است، یک ابزار قانونی از شرکت SyncFutureTec. این برنامه «mysetup.exe» را که به عنوان SyncFuture TSM (Terminal Security Management) شناخته می‌شود، نصب می‌کند. این برنامه یک راهکار تجاری نظارت و مدیریت از راه دور است که توسط شرکت فناوری Nanjing Zhongke Huasai توسعه داده شده است. اگرچه این راهکار برای مدیریت سازمانی طراحی شده است، اما در این کمپین به عنوان یک پلتفرم جاسوسی جامع مورد استفاده قرار می‌گیرد.

پشتیبانی از اجزا و دستکاری سیستم

پس از استقرار، عناصر اضافی برای آماده‌سازی و کنترل محیط نصب می‌شوند:

• اسکریپت‌های دسته‌ای که دایرکتوری‌های سفارشی ایجاد می‌کنند، لیست‌های کنترل دسترسی را تغییر می‌دهند، مجوزهای دسکتاپ را تغییر می‌دهند و وظایف پاکسازی و بازیابی را انجام می‌دهند.
• یک فایل اجرایی هماهنگ‌کننده، 'MANC.exe'، که سرویس‌ها را هماهنگ می‌کند و امکان ثبت فعالیت‌های گسترده را فراهم می‌کند.

تأثیر عملیاتی و اهمیت استراتژیک

با سوءاستفاده از یک ابزار سازمانی قانونی در کنار بدافزار سفارشی، اپراتورها کنترل از راه دور بر روی نقاط انتهایی آلوده، قابلیت مشاهده مداوم فعالیت کاربر و یک مکانیسم متمرکز برای استخراج داده‌های حساس را به دست می‌گیرند. استفاده هماهنگ از بارگذاری جانبی DLL، افزایش امتیاز، تغییر کاربری ابزارهای تجاری، اقدامات ضد تجزیه و تحلیل و فرار از نرم‌افزارهای امنیتی، نشان دهنده درجه بالایی از بلوغ فنی و قصد آشکار برای حفظ کنترل مداوم و جزئی بر روی سیستم‌های آسیب‌پذیر است.