„Blackmoon Banking Trojan“
Kibernetinio saugumo analitikai atskleidė aktyvią daugiapakopę įsilaužimo kampaniją, nukreiptą prieš Indijos asmenis ir organizacijas. Ši operacija, regis, yra kibernetinio šnipinėjimo pobūdžio ir remiasi daugiasluoksne užpakalinių durų sistema, siekiant gauti ilgalaikę, slaptą prieigą prie pažeistų sistemų.
Turinys
Sukčiavimas apsimetant kaip pradinis užkrato vektorius
Kampanija prasideda sukčiavimo el. laiškais, maskuojamais kaip oficialus Indijos pajamų mokesčio departamento susirašinėjimas. Šie laiškai vilioja gavėjus atsisiųsti ZIP archyvą, prisidengiant mokesčių baudų pranešimais. Atidarius archyvą, pradedama užkrėtimo grandinė, kuri galiausiai leidžia nuolat stebėti ir vogti duomenis.
Ginkluotas archyvas ir slaptas egzekucija
Pateiktame ZIP faile yra penki paslėpti komponentai, išskyrus masalo vykdomąjį failą pavadinimu „Inspection Document Review.exe“. Šis failas naudojamas įkelti kenkėjišką dinaminių nuorodų biblioteką, įterptą į archyvą. Nesąžininga DLL atlieka derinimo programos apėjimo patikrinimus ir bendrauja su nuotoliniu komandų ir valdymo serveriu, kad gautų kito etapo naudingąją apkrovą.
Privilegijų eskalavimas ir procesų maskavimas
Atsisiųstas apvalkalo kodas naudoja COM pagrindu sukurtą techniką, kad apeitų vartotojo abonemento valdymą (UAC) ir suteiktų didesnes teises. Tada jis pakeičia savo procesų aplinkos bloką (PEB), kad apsimestų teisėtu „Windows explorer.exe“ procesu, taip sumažindamas tikimybę, kad saugos įrankiai ir analitikai jį aptiks.
Adaptyvus naudingosios apkrovos tiekimas
Vėlesnis etapas – „180.exe“ – yra nuskaitomas iš domeno „eaxwwyr[.]cn“. Šis failas yra 32 bitų „Inno Setup“ diegimo programa, kuri keičia savo vykdymo eigą priklausomai nuo to, ar užkrėstame kompiuteryje yra konkreti saugos programinė įranga, leisdama kenkėjiškai programai dinamiškai koreguoti savo apėjimo taktiką.
Saugumo programinės įrangos vengimas ir „Blackmoon“ susiejimas
Aptikusi gynybinę programinę įrangą, kenkėjiška programa vengia tiesioginio išjungimo. Vietoj to, ji imituoja pelės judesius, kad naršytų saugos sąsajoje ir tyliai įtrauktų kenkėjiškus komponentus į išimčių sąrašą. Šią veiklą palengvina DLL, kuri vertinama kaip „Blackmoon“ (KRBanker) kenkėjiškų programų šeimos variantas, istoriškai siejamas su atakomis prieš įmones Pietų Korėjoje, Jungtinėse Amerikos Valstijose ir Kanadoje nuo jos atsiradimo 2015 m.
Piktnaudžiavimas teisėta įmonės priemone
Vienas iš failų, įtrauktų į išimčių sąrašą, yra „Setup.exe“ – teisėta „SyncFutureTec Company Limited“ programa. Ši programa įdiegia „mysetup.exe“, identifikuojamą kaip „SyncFuture TSM“ („Terminal Security Management“) – komercinis nuotolinio stebėjimo ir valdymo sprendimas, kurį sukūrė „Nanjing Zhongke Huasai Technology Co., Ltd.“. Nors jis skirtas įmonių administravimui, šioje kampanijoje jis naudojamas kaip išsami šnipinėjimo platforma.
Pagalbiniai komponentai ir sistemos manipuliavimas
Po diegimo įdiegiami papildomi elementai, skirti aplinkai paruošti ir valdyti:
- Paketiniai scenarijai, kurie sukuria pasirinktinius katalogus, modifikuoja prieigos kontrolės sąrašus, keičia darbalaukio teises ir atlieka valymo bei atkūrimo užduotis.
- Orkestratoriaus vykdomasis failas „MANC.exe“, kuris koordinuoja paslaugas ir įgalina išsamų veiklos registravimą.
Veiklos poveikis ir strateginė reikšmė
Piktnaudžiaudami teisėta įmonės priemone kartu su pritaikyta kenkėjiška programine įranga, operatoriai įgyja nuotolinę užkrėstų galinių taškų kontrolę, nuolatinį naudotojų veiklos matomumą ir centralizuotą jautrių duomenų nutekėjimo mechanizmą. Koordinuotas DLL šalutinio įkėlimo, privilegijų eskalavimo, komercinių įrankių paskirties keitimo, antianalizės priemonių ir saugos programinės įrangos apėjimo naudojimas atspindi aukštą techninės brandos laipsnį ir aiškų ketinimą išlaikyti nuolatinę, detalią pažeistų sistemų kontrolę.
