Blackmoon Banking Troijalainen
Kyberturvallisuusanalyytikot ovat paljastaneet aktiivisen, monivaiheisen tunkeutumiskampanjan, joka on suunnattu intialaisiin yksilöihin ja organisaatioihin. Operaatio näyttää olevan luonteeltaan kybervakoilua ja perustuu kerrostettuun takaporttiin, jolla saadaan pitkäaikainen, salainen pääsy vaarantuneisiin järjestelmiin.
Sisällysluettelo
Tietojenkalastelu tartunnan alkulähteenä
Kampanja alkaa tietojenkalasteluviesteillä, jotka naamioituvat Intian veroviranomaisen virallisiksi kirjeenvaihdoiksi. Nämä viestit houkuttelevat vastaanottajia lataamaan ZIP-arkiston verohyvitysilmoitusten varjolla. Kun arkisto avataan, se käynnistää tartuntaketjun, joka lopulta mahdollistaa jatkuvan valvonnan ja tietovarkaudet.
Aseistettu arkisto ja salamyhkäinen teloitus
Toimitettu ZIP-tiedosto sisältää viisi piilotettua komponenttia lukuun ottamatta harhautustiedostoa nimeltä 'Inspection Document Review.exe'. Tätä tiedostoa käytetään arkistoon upotetun haitallisen dynaamisen linkkikirjaston sivulataukseen. Haitallinen DLL suorittaa virheenkorjaustarkistuksia ja kommunikoi etäkomento- ja ohjauspalvelimen kanssa seuraavan vaiheen hyötykuorman hakemiseksi.
Etuoikeuksien eskalointi ja prosessien naamiointi
Ladattu komentotulkkikoodi hyödyntää COM-pohjaista tekniikkaa käyttäjätilien valvonnan (UAC) ohittamiseen ja myöntää laajennetut käyttöoikeudet. Sitten se muuttaa omaa prosessiympäristön lohkoaan (PEB) matkiakseen laillista Windows explorer.exe-prosessia, mikä vähentää todennäköisyyttä, että tietoturvatyökalut ja analyytikot havaitsevat sen.
Adaptiivinen hyötykuorman toimitus
Seuraava vaihe, '180.exe', noudetaan verkkotunnuksesta eaxwwyr[.]cn. Tämä tiedosto on 32-bittinen Inno Setup -asennusohjelma, joka muokkaa suorituskulkuaan sen mukaan, onko tartunnan saaneella isännällä tiettyä tietoturvaohjelmistoa, jolloin haittaohjelma voi dynaamisesti säätää väistötaktiikkaansa.
Tietoturvaohjelmistojen kiertäminen ja Blackmoon-linkitys
Kun puolustavaa ohjelmistoa havaitaan, haittaohjelma välttää suoran deaktivoinnin. Sen sijaan se simuloi hiiren liikkeitä navigoidakseen käyttöliittymässä ja lisätäkseen hiljaa haitallisia komponentteja poissulkemisluetteloon. Tätä toimintaa helpottaa DLL-tiedosto, jonka on arvioitu olevan Blackmoon (KRBanker) -haittaohjelmaperheen variantti, joka on historiallisesti yhdistetty Etelä-Koreassa, Yhdysvalloissa ja Kanadassa tehtyihin yrityshyökkäyksiin sen ilmaantumisesta vuonna 2015 lähtien.
Laillisen yritystyökalun väärinkäyttö
Yksi poissulkemislistalle lisätyistä tiedostoista on 'Setup.exe', SyncFutureTec Company Limitedin laillinen apuohjelma. Tämä ohjelma poistaa 'mysetup.exe'-tiedoston, joka tunnistetaan nimellä SyncFuture TSM (Terminal Security Management), Nanjing Zhongke Huasai Technology Co., Ltd:n kehittämä kaupallinen etävalvonta- ja hallintaratkaisu. Vaikka se on suunniteltu yrityshallintaan, sitä käytetään tässä kampanjassa uudelleen kattavana vakoilualustana.
Tukikomponentit ja järjestelmän manipulointi
Käyttöönoton jälkeen asennetaan lisäelementtejä ympäristön valmistelua ja hallintaa varten:
- Eräajokomentosarjoja, jotka luovat mukautettuja hakemistoja, muokkaavat käyttöoikeusluetteloita, muuttavat työpöydän käyttöoikeuksia ja suorittavat siivous- ja palautustehtäviä.
- Orkestroijan suoritettava tiedosto 'MANC.exe', joka koordinoi palveluita ja mahdollistaa laajan aktiviteettilokin tallentamisen.
Operatiivinen vaikutus ja strateginen merkitys
Käyttämällä laillista yritystyökalua räätälöityjen haittaohjelmien rinnalla operaattorit saavat etähallinnan tartunnan saaneisiin päätepisteisiin, jatkuvan näkyvyyden käyttäjien toimintaan ja keskitetyn mekanismin arkaluonteisten tietojen vuotamiseen. DLL-sivulatauksen, käyttöoikeuksien eskaloinnin, kaupallisten työkalujen uudelleenkäytön, analyysin estävien toimenpiteiden ja tietoturvaohjelmistojen kiertämisen koordinoitu käyttö heijastaa korkeaa teknistä kypsyyttä ja selkeää pyrkimystä ylläpitää jatkuvaa ja tarkkaa hallintaa vaarantuneisiin järjestelmiin.
