Astaroth banku Trojas zirgs
Kiberdrošības pētnieki ir identificējuši jaunu kampaņu, kas izplata banku Trojas zirgu Astaroth, kurš apzināti izmanto likumīgus pakalpojumus kā rezerves risinājumu, lai izdzīvotu pēc sistēmas darbības pārtraukšanas. Tā vietā, lai paļautos tikai uz tradicionālajiem vadības un kontroles (C2) serveriem, kurus aizstāvji var atrast un izjaukt, operatori glabā ļaunprogrammatūras konfigurācijas datus vietnē GitHub un iegulst tos attēlos, izmantojot steganogrāfijas metodes, ļaujot ļaunprogrammatūrai atgūties un turpināt darboties pat pēc infrastruktūras pārņemšanas vai atspējošanas.
Satura rādītājs
Kā GitHub un steganogrāfija kļūst par C2 dublējumkopiju
Uzbrucēji ievieto konfigurācijas blobus attēlos publiskajās GitHub krātuvēs. Kad Trojas zirgs nevar sasniegt savus primāros C2 serverus, tas no šiem attēlu failiem iegūst atjauninātos konfigurācijas datus, efektīvi pārvēršot labi zināmu koda mitināšanas platformu par elastīgu rezerves piegādes kanālu. Tā kā dati ir paslēpti attēlos, tie saplūst ar parasto datplūsmu un krātuvēm, un to noteikšana un noņemšana kļūst sarežģītāka. Drošības komandas sadarbojās ar Microsoft piederošo platformu, lai noņemtu kaitīgās krātuves, kas īslaicīgi traucēja kampaņu, taču dizains skaidri parāda nodomu pretoties turpmākai noņemšanai.
Ģeogrāfiskā fokusa un iepriekšējās darbības
Pašreizējā kampaņa galvenokārt ir koncentrēta Brazīlijā, lai gan Astaroth vēsturiski ir vērsts uz plašu Latīņamerikas valstu loku, tostarp Meksiku, Urugvaju, Argentīnu, Paragvaju, Čīli, Bolīviju, Peru, Ekvadoru, Kolumbiju, Venecuēlu un Panamu. Tas atbilst agrākajai Astaroth darbībai: pētnieki 2024. gada jūlijā un oktobrī atzīmēja saistītus klasterus (izsekojamus kā PINEAPPLE un Water Makara), kas izmantoja pikšķerēšanas ēsmas, lai izplatītu vienu un to pašu ļaunprogrammatūras saimi.
Infekcijas ķēde
Uzbrukums parasti sākas ar DocuSign tematikas pikšķerēšanas ziņojumu, kurā ir saite. Šī saite piegādā ZIP failu ar Windows saīsni (.lnk). Atverot LNK, tiek palaists apmulsināts JavaScript fails, kas ielādē papildu JavaScript kodu no ārēji mitinātiem serveriem. Ielādētais JavaScript fails savukārt lejādē vairākus failus no viena no vairākiem cietkodētiem serveriem. Starp šiem failiem ir AutoIt skripts, ko izpilda JavaScript lietderīgā slodze; AutoIt skripts ielādē un palaiž apvalkkodu, kas pēc tam ielādē Delphi bāzētu DLL failu. Šis DLL atšifrē Astaroth lietderīgo slodzi un ievada to jaunizveidotajā RegSvc.exe procesā, pabeidzot izvietošanu.
Ko Astaroth dara ar inficētiem saimniekiem
Astaroth ir ieviests Delphi valodā un ir paredzēts lietotāju tīmekļa aktivitāšu uzraudzībai, koncentrējoties uz banku un kriptovalūtu vietņu apmeklējumiem. Tas katru sekundi pārbauda aktīvo pārlūkprogrammas logu; kad tas atrod mērķtiecīgu banku vai kriptovalūtu vietni, tas piesaista tastatūras notikumus, lai uztvertu taustiņsitienus un iegūtu akreditācijas datus. Trojas zirgs pārsūta nozagtos datus atpakaļ uzbrucējiem, izmantojot Ngrok reversā starpniekservera tuneli, ļaujot veikt eksfiltrāciju pat tad, ja tiešais C2 savienojums ir ierobežots.
Novēroto mērķu piemēri
Pētnieki uzskaitīja virkni banku un kriptovalūtu vietņu, kuras, kā novērots, uzrauga ļaunprogrammatūra:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- ēterskanējums.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- vietējiebitkoini.com
Antianalīzes iespējas
Astaroth ietver daudzas antianalīzes metodes. Tas pārbauda vidi, meklējot virtualizācijas, emulācijas, atkļūdošanas un izplatītus analīzes rīkus (piemēram, QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark un līdzīgus rīkus), un pats sevi pārtrauks, ja šādi rīki tiks atklāti. Šīs pārbaudes apgrūtina dinamisko analīzi un smilškastes testēšanu aizsargātājiem.
Noturība, ģeogrāfiskā norobežošana un lokalizācijas pārbaudes
Lai saglabātu noturību, kampaņa ievieto saīsni Windows startēšanas mapē, kas restartēšanas laikā izsauc AutoIt skriptu, nodrošinot ļaunprogrammatūras automātisku atkārtotu palaišanu. Infekcijas ķēde ietver ģeogrāfisko norobežošanu: sākotnējais LNK ielādētais URL tiek mērķēts pa reģioniem, un ļaunprogrammatūra pārbauda arī sistēmas lokalizāciju — tā izvairās darboties datoros, kas iestatīti uz angļu/Amerikas Savienoto Valstu lokalizācijām. Šie drošības pasākumi sašaurina upura profilu un samazina nejaušu pakļaušanu inficēšanai.
Darbības ietekme
Ļaunprātīgi izmantojot GitHub, lai mitinātu slepenus konfigurācijas atjauninājumus, operatori izveidoja vieglu, grūti noņemamu rezerves kanālu Astaroth. Pētnieki sadarbojās ar Microsoft piederošo platformu, lai noņemtu ļaunprātīgās krātuves, kas īslaicīgi traucēja kampaņu. Likumīgu pakalpojumu izmantošana rezerves kopēšanai parāda, ka aizstāvjiem ir jāuzrauga mākoņa un koda mitināšanas platformu ļaunprātīga izmantošana kā daļa no C2 medībām.
Kopsavilkums
Šajā kampaņā ir izceltas divas tendences, kas aizsardzības uzņēmumiem jāņem vērā: (1) apdraudējumu izpildītāji arvien vairāk izmanto atzītas trešo pušu platformas kā noturīgu infrastruktūru un (2) mūsdienu ļaunprogrammatūra apvieno vairākus skriptēšanas un kompilētus komponentus (JavaScript → AutoIt → apvalkkods → Delphi DLL), lai sarežģītu analīzi un pastāvīgu failu noņemšanu. GitHub balstītas konfigurācijas rezerves varianta, mērķtiecīgas ģeogrāfiskās norobežošanas, spēcīgu antianalīzes pārbaužu un pārlūkprogrammas aktivitāšu uzraudzības kombinācija padara Astaroth par īpaši noturīgu un privātumu apdraudošu banku Trojas zirgu. Modrība pret pikšķerēšanas ēsmām, neparastu GitHub attēlu aktivitāšu uzraudzība un spēcīga galapunktu noteikšana, kas pamana daudzpakāpju ķēdi, ir galvenie faktori infekciju atklāšanā un apturēšanā.
