Astaroth Banking Trojan

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណយុទ្ធនាការថ្មីដែលផ្តល់ Trojan ធនាគារ Astaroth ដែលប្រើប្រាស់សេវាកម្មស្របច្បាប់ដោយចេតនាជាការតបស្នងដើម្បីរស់រានមានជីវិតពីការដកចេញ។ ជាជាងការពឹងផ្អែកតែលើម៉ាស៊ីនមេ Command-and-Control (C2) បែបប្រពៃណី ដែលអ្នកការពារអាចកំណត់ទីតាំង និងរំខាន ប្រតិបត្តិករកំពុងបង្ហោះទិន្នន័យការកំណត់រចនាសម្ព័ន្ធមេរោគនៅលើ GitHub ហើយបង្កប់វានៅក្នុងរូបភាពតាមរយៈស្ទីហ្កានីប ដែលអនុញ្ញាតឱ្យមេរោគអាចសង្គ្រោះ និងបន្តដំណើរការបាន បើទោះបីជាហេដ្ឋារចនាសម្ព័ន្ធត្រូវបានរឹបអូស ឬបិទក៏ដោយ។

របៀបដែល GitHub និង Steganography ក្លាយជាការបម្រុងទុក C2

អ្នកវាយប្រហារដាក់ប្លុកកំណត់រចនាសម្ព័ន្ធនៅខាងក្នុងរូបភាពនៅលើឃ្លាំង GitHub សាធារណៈ។ នៅពេលដែល Trojan មិនអាចទៅដល់ម៉ាស៊ីនមេ C2 ចម្បងរបស់វា វាទាញទិន្នន័យការកំណត់រចនាសម្ព័ន្ធដែលបានធ្វើបច្ចុប្បន្នភាពពីឯកសាររូបភាពទាំងនោះ — ដោយមានប្រសិទ្ធភាពប្រែក្លាយវេទិកាបង្ហោះកូដដ៏ល្បីមួយទៅជាបណ្តាញចែកចាយបម្រុងទុកដែលធន់។ ដោយសារតែទិន្នន័យត្រូវបានលាក់នៅខាងក្នុងរូបភាព វាបញ្ចូលគ្នាទៅក្នុងចរាចរធម្មតា និងកន្លែងផ្ទុក ហើយធ្វើឱ្យការរកឃើញ និងការដកចេញកាន់តែស្មុគស្មាញ។ ក្រុមសន្តិសុខបានធ្វើការជាមួយវេទិកាដែលគ្រប់គ្រងដោយ Microsoft ដើម្បីលុបឃ្លាំងដែលបំពាន ដែលរំខានដល់យុទ្ធនាការជាបណ្ដោះអាសន្ន ប៉ុន្តែការរចនានេះបង្ហាញពីចេតនាច្បាស់លាស់ក្នុងការទប់ទល់នឹងការដកចេញនាពេលអនាគត។

ការផ្តោតអារម្មណ៍ភូមិសាស្ត្រ និងសកម្មភាពមុន។

យុទ្ធនាការបច្ចុប្បន្នត្រូវបានប្រមូលផ្តុំជាចម្បងនៅក្នុងប្រទេសប្រេស៊ីល ទោះបីជា Astaroth ជាប្រវត្តិសាស្ត្រកំណត់គោលដៅទូលំទូលាយនៃបណ្តាប្រទេសនៅអាមេរិកឡាទីន រួមមានម៉ិកស៊ិក អ៊ុយរូហ្គាយ អាហ្សង់ទីន ប៉ារ៉ាហ្គាយ ឈីលី បូលីវី ប៉េរូ អេក្វាឌ័រ កូឡុំប៊ី វ៉េណេស៊ុយអេឡា និងប៉ាណាម៉ាក៏ដោយ។ នេះគឺស្របទៅនឹងសកម្មភាពរបស់ Astaroth មុននេះ៖ អ្នកស្រាវជ្រាវបានដាក់ទង់ក្រុមដែលពាក់ព័ន្ធ (តាមដានជា PINEAPPLE និង Water Makara) ក្នុងខែកក្កដា និងខែតុលា ឆ្នាំ 2024 ដែលបានប្រើល្បិចបោកបញ្ឆោតដើម្បីចែកចាយពពួកមេរោគដូចគ្នានេះ។

ខ្សែសង្វាក់ឆ្លង

ការវាយប្រហារជាធម្មតាចាប់ផ្តើមជាមួយនឹងសារបន្លំតាមប្រធានបទ DocuSign ដែលមានតំណភ្ជាប់។ តំណភ្ជាប់នោះផ្តល់នូវ ZIP ដែលមានផ្លូវកាត់វីនដូ (.lnk) ។ ការបើក LNK បើកដំណើរការ stub JavaScript ដែលមិនច្បាស់លាស់ដែលទាញយក JavaScript បន្ថែមពីម៉ាស៊ីនមេខាងក្រៅ។ JavaScript ដែល​បាន​ទាញ​យក​ជា​វេន​ទាញ​យក​ឯកសារ​ជា​ច្រើន​ពី​ម៉ាស៊ីន​បម្រើ​កូដ​រឹង​មួយ​ចំនួន។ ក្នុងចំណោមឯកសារទាំងនោះមានស្គ្រីប AutoIt ដែលប្រតិបត្តិដោយ JavaScript payload ។ ស្គ្រីប AutoIt ផ្ទុក និងដំណើរការ shellcode ដែលបន្ទាប់មកផ្ទុក DLL ដែលមានមូលដ្ឋានលើ Delphi ។ នោះ DLL ឌិគ្រីប Astaroth payload ហើយបញ្ចូលវាទៅក្នុងដំណើរការ RegSvc.exe ដែលទើបបង្កើតថ្មី - បញ្ចប់ការដាក់ពង្រាយ។

អ្វីដែល Astaroth ធ្វើលើម៉ាស៊ីនដែលឆ្លង

Astaroth ត្រូវបានអនុវត្តនៅក្នុង Delphi ហើយត្រូវបានរចនាឡើងដើម្បីតាមដានសកម្មភាពគេហទំព័ររបស់អ្នកប្រើប្រាស់ ដោយផ្តោតលើការចូលមើលគេហទំព័រដែលទាក់ទងនឹងធនាគារ និងរូបិយប័ណ្ណគ្រីបតូ។ វាពិនិត្យបង្អួចកម្មវិធីរុករកសកម្មរៀងរាល់វិនាទី។ នៅពេលដែលវារកឃើញធនាគារគោលដៅ ឬគេហទំព័រគ្រីបតូ វាភ្ជាប់ព្រឹត្តិការណ៍ក្តារចុចដើម្បីចាប់យកការចុចគ្រាប់ចុច និងប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ។ Trojan បញ្ជូនទិន្នន័យដែលត្រូវបានលួចត្រឡប់ទៅអ្នកវាយប្រហារវិញដោយប្រើ Ngrok reverse-proxy tunnel ដែលអនុញ្ញាតឱ្យ exfiltration សូម្បីតែនៅពេលដែលការភ្ជាប់ C2 ផ្ទាល់ត្រូវបានដាក់កម្រិតក៏ដោយ។

ឧទាហរណ៍នៃគោលដៅដែលបានសង្កេត

អ្នកស្រាវជ្រាវបានរាយបញ្ជីនៃគេហទំព័រដែលទាក់ទងនឹងធនាគារ និងគ្រីបតូ ដែលត្រូវបានអង្កេតតាមដានដោយមេរោគ៖

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

សមត្ថភាពប្រឆាំងការវិភាគ

Astaroth រួមបញ្ចូលបច្ចេកទេសប្រឆាំងការវិភាគជាច្រើន។ វាស៊ើបអង្កេតបរិយាកាសសម្រាប់និម្មិត ការត្រាប់តាម ការបំបាត់កំហុស និងឧបករណ៍វិភាគទូទៅ (ឧទាហរណ៍រួមមាន QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark និងឧបករណ៍ស្រដៀងគ្នា) ហើយនឹងបញ្ចប់ដោយខ្លួនវា ប្រសិនបើឧបករណ៍បែបនេះត្រូវបានរកឃើញ។ ការត្រួតពិនិត្យទាំងនេះធ្វើឱ្យការវិភាគថាមវន្ត និងប្រអប់ខ្សាច់កាន់តែពិបាកសម្រាប់អ្នកការពារ។

ភាពស្ថិតស្ថេរ ការត្រួតពិនិត្យភូមិសាស្ត្រ និងតំបន់

ដើម្បីរក្សាភាពស្ថិតស្ថេរ យុទ្ធនាការទម្លាក់ផ្លូវកាត់ចូលទៅក្នុងថត Windows Startup ដែលហៅស្គ្រីប AutoIt នៅពេលចាប់ផ្តើមឡើងវិញ ដោយធានាថាមេរោគចាប់ផ្តើមឡើងវិញដោយស្វ័យប្រវត្តិ។ ខ្សែសង្វាក់នៃការឆ្លងរួមមាន geofencing៖ URL ដំបូងដែលទាញយកដោយ LNK ត្រូវបានកំណត់គោលដៅតាមតំបន់ ហើយមេរោគក៏ផ្ទៀងផ្ទាត់ប្រព័ន្ធប្រព័ន្ធ — វាជៀសវាងដំណើរការលើម៉ាស៊ីនដែលបានកំណត់ទៅមូលដ្ឋានភាសាអង់គ្លេស/សហរដ្ឋអាមេរិក។ ការការពារទាំងនេះបង្រួមទម្រង់ជនរងគ្រោះ និងកាត់បន្ថយការប៉ះពាល់ដោយចៃដន្យ។

ផលប៉ះពាល់ប្រតិបត្តិការ

ដោយបំពាន GitHub ដើម្បីធ្វើបច្ចុប្បន្នភាពការកំណត់រចនាសម្ព័ន្ធបំបាំងកាយ ប្រតិបត្តិករបានបង្កើតឆានែលបម្រុងទុកទម្ងន់ស្រាល និងពិបាកដកចេញសម្រាប់ Astaroth ។ អ្នកស្រាវជ្រាវបានសម្របសម្រួលជាមួយវេទិកាដែលគ្រប់គ្រងដោយ Microsoft ដើម្បីលុបឃ្លាំងព្យាបាទ ដែលរំខានដល់យុទ្ធនាការជាបណ្តោះអាសន្ន។ ការប្រើប្រាស់សេវាកម្មស្របច្បាប់សម្រាប់ការធ្លាក់ចុះបង្ហាញពីតម្រូវការសម្រាប់អ្នកការពារដើម្បីតាមដានការរំលោភបំពានលើពពក និងកូដបង្ហោះវេទិកាដែលជាផ្នែកមួយនៃការប្រមាញ់ C2 ។

សង្ខេប

យុទ្ធនាការនេះរំលេចអ្នកការពារនិន្នាការពីរត្រូវតែពិចារណា៖ (1) តួអង្គគំរាមកំហែងកាន់តែខ្លាំងឡើងប្រើវេទិកាភាគីទីបីដែលគោរពជាហេដ្ឋារចនាសម្ព័ន្ធធន់ និង (2) មេរោគទំនើបលាយបញ្ចូលស្គ្រីបជាច្រើន និងសមាសធាតុដែលបានចងក្រង (JavaScript → AutoIt → shellcode → Delphi DLL) ដើម្បីធ្វើឱ្យស្មុគស្មាញដល់ការវិភាគ និងការដកយកចេញជាបន្តបន្ទាប់។ ការរួមបញ្ចូលគ្នានៃការកំណត់រចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើ GitHub ការកំណត់ទីតាំងភូមិសាស្ត្រគោលដៅ ការត្រួតពិនិត្យការប្រឆាំងការវិភាគដ៏រឹងមាំ និងការត្រួតពិនិត្យសកម្មភាពរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតធ្វើឱ្យ Astaroth ក្លាយជា Trojan ធនាគារដែលឈ្លានពាន និងមានភាពឯកជនជាពិសេស។ ការប្រុងប្រយ័ត្នប្រឆាំងនឹងការបោកបញ្ឆោត ការតាមដានសកម្មភាពរូបភាពមិនធម្មតារបស់ GitHub និងការរកឃើញចំណុចបញ្ចប់ដ៏រឹងមាំដែលសម្គាល់ខ្សែសង្វាក់ពហុដំណាក់កាលគឺជាគន្លឹះក្នុងការស្វែងរក និងរំខានការឆ្លង។