Blackmoon Banking Trojan

אנליסטים של אבטחת סייבר חשפו קמפיין חדירה רב-שלבי פעיל המכוון נגד יחידים וארגונים הודים. נראה כי המבצע הוא בעל אופי של ריגול סייבר ומסתמך על מסגרת דלת אחורית שכבתית כדי להשיג גישה חשאית ארוכת טווח למערכות פרוצות.

פישינג כגורם ההדבקה הראשוני

הקמפיין מתחיל במיילים של פישינג המתחזים להתכתבות רשמית ממשרד מס ההכנסה של הודו. הודעות אלו מפתות את הנמענים להוריד ארכיון ZIP תחת הטענה של הודעות קנס מס. לאחר פתיחת הארכיון, הוא מתחיל את שרשרת ההדבקה שבסופו של דבר מאפשרת ניטור מתמשך וגניבת נתונים.

ארכיון חמוש וביצוע חשאי

קובץ ה-ZIP שנמסר מכיל חמישה רכיבים, כולם מוסתרים מלבד קובץ הרצה בשם 'Inspection Document Review.exe'. קובץ זה משמש לרעה לטעינה צדדית של ספריית קישורים דינמיים זדונית המוטמעת בארכיון. קובץ ה-DLL הסורר מבצע בדיקות התחמקות מניפוי שגיאות ומתקשר עם שרת פקודה ובקרה מרוחק כדי לאחזר את המטען של השלב הבא.

הסלמת הרשאות והסתרת תהליכים

קוד ה-shellcode שהורד משתמש בטכניקה מבוססת COM כדי לעקוף את בקרת חשבון המשתמש (UAC), ומעניק הרשאות מוגברות. לאחר מכן, הוא משנה את בלוק סביבת התהליך (PEB) שלו כדי להתחזות לתהליך הלגיטימי של Windows explorer.exe, ובכך מפחית את הסבירות לגילוי על ידי כלי אבטחה ואנליסטים.

אספקת מטען אדפטיבית

שלב נוסף, '180.exe', נלקח מהדומיין eaxwwyr[.]cn. קובץ זה הוא מתקין Inno Setup בגרסת 32 סיביות שמשנה את זרימת הביצוע שלו בהתאם לקיומה של תוכנת אבטחה ספציפית על גבי המחשב הנגוע, מה שמאפשר לתוכנה הזדונית להתאים באופן דינמי את טקטיקות ההתחמקות שלה.

התחמקות מתוכנות אבטחה וקישור Blackmoon

כאשר מתגלה תוכנה הגנתית, הנוזקה נמנעת מהפעלה ישירה. במקום זאת, היא מדמה תנועות עכבר כדי לנווט בממשק האבטחה ולהוסיף בשקט רכיבים זדוניים לרשימת ההחרגה. פעילות זו מתאפשרת על ידי DLL המוערך כגרסה של משפחת הנוזקות Blackmoon (KRBanker), המקושרת היסטורית להתקפות על עסקים בדרום קוריאה, ארצות הברית וקנדה מאז הופעתה בשנת 2015.

שימוש לרעה בכלי ארגוני לגיטימי

אחד הקבצים שנוספו לרשימת ההדרה הוא 'Setup.exe', כלי עזר לגיטימי של חברת SyncFutureTec Company Limited. תוכנית זו מסירה את 'mysetup.exe', המזוהה כ-SyncFuture TSM (Terminal Security Management), פתרון מסחרי לניטור וניהול מרחוק שפותח על ידי Nanjing Zhongke Huasai Technology Co., Ltd. למרות שתוכנן לניהול ארגוני, הוא משמש מחדש בקמפיין זה כפלטפורמת ריגול מקיפה.

רכיבים תומכים ומניפולציה של המערכת

לאחר הפריסה, מותקנים אלמנטים נוספים להכנה ובקרה של הסביבה:

• סקריפטים של אצווה שיוצרים ספריות מותאמות אישית, משנים רשימות בקרת גישה, משנים הרשאות שולחן עבודה ומבצעים משימות ניקוי ושחזור.
• קובץ הרצה של תזמורת, 'MANC.exe', אשר מתאם שירותים ומאפשר רישום פעילות נרחב.

השפעה תפעולית ומשמעות אסטרטגית

על ידי שימוש לרעה בכלי ארגוני לגיטימי לצד תוכנות זדוניות מותאמות אישית, המפעילים משיגים שליטה מרחוק על נקודות קצה נגועות, נראות רציפה לפעילות המשתמש ומנגנון מרכזי לחילוץ נתונים רגישים. השימוש המתואם בטעינה צדדית של קבצי DLL, הסלמת הרשאות, שימוש מחדש של כלים מסחריים, אמצעי אנטי-אנליזה והתחמקות מתוכנות אבטחה משקף רמה גבוהה של בגרות טכנית וכוונה ברורה לשמור על שליטה מתמשכת ומפורטת על מערכות פגועות.