Blackmoon banki trójai
Kiberbiztonsági elemzők egy aktív, többlépcsős behatolási kampányt lepleztek le, amely indiai magánszemélyek és szervezetek ellen irányult. A művelet természetét tekintve kiberkémkedésnek tűnik, és egy többrétegű hátsó ajtó keretrendszerre támaszkodik, hogy hosszú távú, titkos hozzáférést szerezzen a feltört rendszerekhez.
Tartalomjegyzék
Adathalászat, mint a fertőzés kezdeti vektora
A kampány az Indiai Adóhivatal hivatalos levelezésének álcázott adathalász e-mailekkel kezdődik. Ezek az üzenetek arra csábítják a címzetteket, hogy adóbírság-értesítések ürügyén letöltsenek egy ZIP archívumot. Megnyitás után az archívum elindítja a fertőzési láncot, amely végső soron lehetővé teszi a folyamatos megfigyelést és az adatlopást.
Fegyveres archívum és lopakodó kivégzés
A kézbesített ZIP fájl öt komponenst tartalmaz, amelyek mind rejtve vannak, kivéve egy „Inspection Document Review.exe” nevű csali futtatható fájlt. Ezt a fájlt arra használják, hogy oldalra töltsenek egy, az archívumba ágyazott rosszindulatú dinamikus csatolású függvénytárat. A rosszindulatú DLL hibakeresési ellenőrzéseket végez, és egy távoli parancs- és vezérlőkiszolgálóval kommunikál a következő szintű hasznos adat lekérése érdekében.
Jogosultságok eszkalációja és folyamatmaszkolás
A letöltött shellkód egy COM-alapú technikát használ a felhasználói fiókok felügyeletének (UAC) megkerülésére, emelt szintű jogosultságokat biztosítva. Ezután módosítja a saját folyamatkörnyezeti blokkját (PEB), hogy a legitim Windows explorer.exe folyamatot utánozza, csökkentve a biztonsági eszközök és elemzők általi észlelés valószínűségét.
Adaptív hasznos teher szállítás
Egy következő lépés, a „180.exe” az eaxwwyr[.]cn domainről származik. Ez a fájl egy 32 bites Inno Setup telepítő, amely módosítja a végrehajtási folyamatát attól függően, hogy van-e jelen adott biztonsági szoftver a fertőzött gépen, lehetővé téve a rosszindulatú program számára, hogy dinamikusan módosítsa a megkerülési taktikáját.
Biztonsági szoftverek megkerülése és a Blackmoon összekapcsolása
Amikor védekező szoftvert észlel, a rosszindulatú program elkerüli a közvetlen deaktiválást. Ehelyett egérmozgásokat szimulál, hogy navigáljon a biztonsági felületen, és csendben hozzáadja a rosszindulatú összetevőket a kizárási listához. Ezt a tevékenységet egy DLL segíti elő, amely a Blackmoon (KRBanker) rosszindulatú programcsalád egy változatának tekinthető, amelyet történelmileg a dél-koreai, az Egyesült Államokbeli és kanadai vállalkozások elleni támadásokhoz kötnek 2015-ös megjelenése óta.
Legális vállalati eszközzel való visszaélés
A kizárási listára felvett fájlok egyike a „Setup.exe”, a SyncFutureTec Company Limited legitim segédprogramja. Ez a program elhelyezi a „mysetup.exe” fájlt, amely SyncFuture TSM (Terminal Security Management) néven ismert, és egy kereskedelmi célú távfelügyeleti és -kezelési megoldás, amelyet a Nanjing Zhongke Huasai Technology Co., Ltd. fejlesztett ki. Bár vállalati adminisztrációra tervezték, ebben a kampányban átfogó kémplatformként használják.
Támogató komponensek és rendszermanipuláció
A telepítést követően további elemeket telepítenek a környezet előkészítése és irányítása érdekében:
- Köteles szkriptek, amelyek egyéni könyvtárakat hoznak létre, módosítják a hozzáférés-vezérlési listákat, megváltoztatják az asztali engedélyeket, valamint tisztítási és visszaállítási feladatokat hajtanak végre.
- Egy „MANC.exe” nevű orchestrátor futtatható fájl, amely koordinálja a szolgáltatásokat és lehetővé teszi a kiterjedt tevékenységnaplózást.
Működési hatás és stratégiai jelentőség
Egy legitim vállalati eszköz és az egyedi rosszindulatú szoftverek együttes használatával az operátorok távoli irányítást szereznek a fertőzött végpontok felett, folyamatos betekintést nyernek a felhasználói tevékenységekbe, és központosított mechanizmust biztosítanak az érzékeny adatok ellopásához. A DLL-ek oldalra telepítésének, a jogosultságok eszkalációjának, a kereskedelmi eszközök újrafelhasználásának, az elemzés elleni intézkedéseknek és a biztonsági szoftverek megkerülésének összehangolt használata magas fokú technikai érettséget és egyértelmű szándékot tükröz a feltört rendszerek feletti tartós, részletes ellenőrzés fenntartására.
