ब्लैकमून बैंकिंग ट्रोजन
साइबर सुरक्षा विश्लेषकों ने भारतीय व्यक्तियों और संगठनों को निशाना बनाकर चलाए जा रहे एक सक्रिय बहुस्तरीय घुसपैठ अभियान का खुलासा किया है। यह ऑपरेशन साइबर जासूसी प्रतीत होता है और इसमें समझौता किए गए सिस्टमों तक दीर्घकालिक, गुप्त पहुंच प्राप्त करने के लिए एक स्तरित बैकडोर प्रणाली का उपयोग किया गया है।
विषयसूची
प्रारंभिक संक्रमण वाहक के रूप में फ़िशिंग
यह अभियान भारत के आयकर विभाग के आधिकारिक पत्राचार के रूप में भेजे गए फ़िशिंग ईमेल से शुरू होता है। ये संदेश प्राप्तकर्ताओं को कर जुर्माने के नोटिस बताकर एक ज़िप फ़ाइल डाउनलोड करने के लिए लुभाते हैं। एक बार खोलने पर, यह फ़ाइल संक्रमण की एक श्रृंखला शुरू कर देती है, जो अंततः निरंतर निगरानी और डेटा चोरी को संभव बनाती है।
हथियारबंद संग्रह और गुप्त निष्पादन
डिलीवर की गई ज़िप फ़ाइल में पाँच घटक हैं, जिनमें से 'इंस्पेक्शन डॉक्यूमेंट रिव्यू.exe' नामक एक नकली निष्पादन योग्य फ़ाइल को छोड़कर बाकी सभी छिपे हुए हैं। इस फ़ाइल का दुरुपयोग करके आर्काइव में एम्बेडेड एक दुर्भावनापूर्ण डायनेमिक-लिंक लाइब्रेरी को साइडलोड किया जाता है। यह दुर्भावनापूर्ण DLL डिबगर से बचने के लिए जाँच करता है और अगले चरण के पेलोड को प्राप्त करने के लिए एक रिमोट कमांड-एंड-कंट्रोल सर्वर से संपर्क करता है।
विशेषाधिकार वृद्धि और प्रक्रिया छद्मवेश
डाउनलोड किया गया शेलकोड, यूज़र अकाउंट कंट्रोल (UAC) को बायपास करने के लिए COM-आधारित तकनीक का उपयोग करता है, जिससे उसे उच्च विशेषाधिकार प्राप्त हो जाते हैं। इसके बाद, यह अपने प्रोसेस एनवायरनमेंट ब्लॉक (PEB) को इस तरह बदल देता है कि वह वैध विंडोज एक्सप्लोरर.exe प्रोसेस का रूप धारण कर ले, जिससे सुरक्षा उपकरणों और विश्लेषकों द्वारा पकड़े जाने की संभावना कम हो जाती है।
अनुकूली पेलोड वितरण
इसके बाद, '180.exe' नामक फ़ाइल को eaxwwyr[.]cn डोमेन से डाउनलोड किया जाता है। यह एक 32-बिट इननो सेटअप इंस्टॉलर है जो संक्रमित होस्ट पर मौजूद विशिष्ट सुरक्षा सॉफ़्टवेयर की उपस्थिति के आधार पर अपने निष्पादन प्रवाह को बदलता है, जिससे मैलवेयर को अपनी बचाव रणनीति को गतिशील रूप से समायोजित करने की अनुमति मिलती है।
सुरक्षा सॉफ़्टवेयर से बचाव और ब्लैकमून लिंकेज
सुरक्षा सॉफ़्टवेयर का पता चलने पर, मैलवेयर सीधे निष्क्रिय नहीं होता। इसके बजाय, यह सुरक्षा इंटरफ़ेस में नेविगेट करने के लिए माउस की गतिविधियों का अनुकरण करता है और चुपचाप दुर्भावनापूर्ण घटकों को बहिष्करण सूची में जोड़ देता है। यह गतिविधि एक DLL द्वारा सुगम बनाई जाती है जिसे ब्लैकमून (KRBanker) मैलवेयर परिवार का एक प्रकार माना जाता है, जो 2015 में सामने आने के बाद से दक्षिण कोरिया, संयुक्त राज्य अमेरिका और कनाडा में व्यवसायों पर हमलों से जुड़ा हुआ है।
वैध एंटरप्राइज टूल का दुरुपयोग
एक्सक्लूज़न लिस्ट में जोड़ी गई फ़ाइलों में से एक 'Setup.exe' है, जो SyncFutureTec कंपनी लिमिटेड की एक वैध यूटिलिटी है। यह प्रोग्राम 'mysetup.exe' नाम की फ़ाइल बनाता है, जिसे SyncFuture TSM (टर्मिनल सिक्योरिटी मैनेजमेंट) के रूप में पहचाना जाता है। यह Nanjing Zhongke Huasai Technology Co., Ltd. द्वारा विकसित एक व्यावसायिक रिमोट मॉनिटरिंग और मैनेजमेंट सॉल्यूशन है। हालांकि इसे एंटरप्राइज़ एडमिनिस्ट्रेशन के लिए डिज़ाइन किया गया है, लेकिन इस अभियान में इसे एक व्यापक जासूसी प्लेटफॉर्म के रूप में इस्तेमाल किया जा रहा है।
सहायक घटक और सिस्टम हेरफेर
तैनाती के बाद, वातावरण को तैयार करने और नियंत्रित करने के लिए अतिरिक्त तत्व स्थापित किए जाते हैं:
- बैच स्क्रिप्ट जो कस्टम डायरेक्टरी बनाती हैं, एक्सेस कंट्रोल लिस्ट को संशोधित करती हैं, डेस्कटॉप अनुमतियों को बदलती हैं और सफाई और पुनर्स्थापना कार्य करती हैं।
- एक ऑर्केस्ट्रेटर एक्जीक्यूटेबल, 'MANC.exe,' जो सेवाओं का समन्वय करता है और व्यापक गतिविधि लॉगिंग को सक्षम बनाता है।
परिचालनात्मक प्रभाव और रणनीतिक महत्व
वैध एंटरप्राइज़ टूल का दुरुपयोग करके और कस्टम मैलवेयर का इस्तेमाल करके, ऑपरेटर संक्रमित एंडपॉइंट्स पर रिमोट कंट्रोल हासिल कर लेते हैं, यूज़र गतिविधि पर लगातार नज़र रखते हैं और संवेदनशील डेटा की चोरी के लिए एक केंद्रीकृत तंत्र विकसित कर लेते हैं। DLL साइडलोडिंग, विशेषाधिकार वृद्धि, व्यावसायिक टूल का पुनर्उपयोग, विश्लेषण-विरोधी उपाय और सुरक्षा सॉफ़्टवेयर से बचने के समन्वित उपयोग से तकनीकी परिपक्वता का उच्च स्तर और समझौता किए गए सिस्टम पर निरंतर, बारीक नियंत्रण बनाए रखने का स्पष्ट इरादा झलकता है।
