Blackmoon bankarski trojanac
Analitičari kibernetičke sigurnosti otkrili su aktivnu višefaznu kampanju upada usmjerenu na indijske pojedince i organizacije. Čini se da je operacija kibernetičke špijunaže i oslanja se na slojeviti okvir za skriveni pristup kako bi se dobio dugoročni, tajni pristup kompromitiranim sustavima.
Sadržaj
Phishing kao početni vektor zaraze
Kampanja započinje phishing e-porukama koje se maskiraju kao službena korespondencija Porezne uprave Indije. Ove poruke mame primatelje da preuzmu ZIP arhivu pod izlikom obavijesti o poreznim kaznama. Nakon otvaranja, arhiva pokreće lanac zaraze koji u konačnici omogućuje stalno praćenje i krađu podataka.
Oružana arhiva i prikriveno pogubljenje
Dostavljena ZIP datoteka sadrži pet komponenti, sve skrivene osim izvršne datoteke mamca pod nazivom 'Inspection Document Review.exe'. Ova se datoteka zlorabi za bočno učitavanje zlonamjerne biblioteke dinamičkih veza ugrađene u arhivu. Lažni DLL izvodi provjere izbjegavanja otklanjanja pogrešaka i komunicira s udaljenim poslužiteljem za naredbe i kontrolu kako bi dohvatio sljedeće korake.
Eskalacija privilegija i maskiranje procesa
Preuzeti shellcode koristi tehniku temeljenu na COM-u kako bi zaobišao Kontrolu korisničkih računa (UAC), dodjeljujući povećane privilegije. Zatim mijenja vlastiti Process Environment Block (PEB) kako bi oponašao legitimni proces Windows explorer.exe, smanjujući vjerojatnost otkrivanja od strane sigurnosnih alata i analitičara.
Prilagodljiva dostava korisnog tereta
Sljedeća faza, '180.exe', dohvaća se s domene eaxwwyr[.]cn. Ova datoteka je 32-bitni instalacijski program Inno Setupa koji mijenja svoj tijek izvršavanja ovisno o tome je li određeni sigurnosni softver prisutan na zaraženom hostu, omogućujući zlonamjernom softveru dinamičko prilagođavanje taktika izbjegavanja.
Izbjegavanje sigurnosnog softvera i povezivanje s Blackmoonom
Kada se otkrije obrambeni softver, zlonamjerni softver izbjegava izravnu deaktivaciju. Umjesto toga, simulira pokrete miša za navigaciju sigurnosnim sučeljem i tiho dodaje zlonamjerne komponente na popis isključenja. Ovu aktivnost olakšava DLL za koji se procjenjuje da je varijanta obitelji zlonamjernog softvera Blackmoon (KRBanker), koja se povijesno povezuje s napadima na tvrtke u Južnoj Koreji, Sjedinjenim Državama i Kanadi od svoje pojave 2015. godine.
Zlouporaba legitimnog poslovnog alata
Jedna od datoteka dodanih na popis isključenja je 'Setup.exe', legitimni uslužni program tvrtke SyncFutureTec Company Limited. Ovaj program izbacuje 'mysetup.exe', identificiran kao SyncFuture TSM (Terminal Security Management), komercijalno rješenje za daljinsko praćenje i upravljanje koje je razvila tvrtka Nanjing Zhongke Huasai Technology Co., Ltd. Iako je dizajniran za poslovnu administraciju, u ovoj kampanji je prenamijenjen kao sveobuhvatna platforma za špijunažu.
Pomoćne komponente i manipulacija sustavom
Nakon implementacije, instaliraju se dodatni elementi za pripremu i kontrolu okruženja:
- Grupne skripte koje stvaraju prilagođene direktorije, mijenjaju popise kontrole pristupa, mijenjaju dozvole radne površine i izvode zadatke čišćenja i vraćanja.
- Izvršna datoteka orkestratora, 'MANC.exe', koja koordinira usluge i omogućuje opsežno zapisivanje aktivnosti.
Operativni utjecaj i strateški značaj
Zloupotrebom legitimnog poslovnog alata uz prilagođeni zlonamjerni softver, operateri dobivaju daljinsku kontrolu nad zaraženim krajnjim točkama, kontinuirani uvid u aktivnosti korisnika i centralizirani mehanizam za uklanjanje osjetljivih podataka. Koordinirana upotreba bočnog učitavanja DLL-ova, eskalacije privilegija, prenamjene komercijalnih alata, mjera protiv analize i izbjegavanja sigurnosnog softvera odražava visok stupanj tehničke zrelosti i jasnu namjeru održavanja trajne, granularne kontrole nad kompromitiranim sustavima.
