Blackmoon banku Trojas zirgs
Kiberdrošības analītiķi ir atklājuši aktīvu daudzpakāpju ielaušanās kampaņu, kas vērsta pret Indijas privātpersonām un organizācijām. Operācija, šķiet, ir kiberizlūkošana un balstās uz daudzslāņainu aizmugurējo durvju ietvaru, lai iegūtu ilgtermiņa, slepenu piekļuvi apdraudētām sistēmām.
Satura rādītājs
Pikšķerēšana kā sākotnējais inficēšanās vektors
Kampaņa sākas ar pikšķerēšanas e-pastiem, kas maskējas kā oficiāla sarakste no Indijas Ienākumu nodokļa departamenta. Šie ziņojumi pievilina adresātus lejupielādēt ZIP arhīvu, aizbildinoties ar nodokļu soda paziņojumiem. Pēc arhīva atvēršanas tiek uzsākta inficēšanas ķēde, kas galu galā nodrošina pastāvīgu uzraudzību un datu zādzību.
Ieroču arhīvs un slepena izpilde
Piegādātajā ZIP failā ir pieci komponenti, kas visi ir paslēpti, izņemot mānīgo izpildāmo failu ar nosaukumu “Inspection Document Review.exe”. Šis fails tiek ļaunprātīgi izmantots, lai sānielādētu arhīvā iegultu ļaunprātīgu dinamisko saišu bibliotēku. Negodīgais DLL veic atkļūdotāju apiešanas pārbaudes un sazinās ar attālo komandu un vadības serveri, lai izgūtu nākamās pakāpes vērtumu.
Privilēģiju eskalācija un procesu maskēšana
Lejupielādētais apvalkkods izmanto uz COM balstītu metodi, lai apietu lietotāja konta kontroli (UAC), piešķirot paaugstinātas privilēģijas. Pēc tam tas maina savu procesa vides bloku (PEB), lai personificētu likumīgo Windows explorer.exe procesu, samazinot drošības rīku un analītiķu atklāšanas iespējamību.
Adaptīvā lietderīgās slodzes piegāde
Nākamais posms ar nosaukumu “180.exe” tiek izgūts no domēna eaxwwyr[.]cn. Šis fails ir 32 bitu Inno Setup instalētājs, kas maina savu izpildes plūsmu atkarībā no tā, vai inficētajā resursdatorā ir pieejama konkrēta drošības programmatūra, ļaujot ļaunprogrammatūrai dinamiski pielāgot savu apiešanas taktiku.
Drošības programmatūras apiešana un Melnā mēness saistīšana
Kad tiek atklāta aizsardzības programmatūra, ļaunprogrammatūra izvairās no tiešas deaktivizācijas. Tā vietā tā simulē peles kustības, lai pārvietotos pa drošības saskarni un nemanāmi pievienotu ļaunprātīgus komponentus izslēgšanas sarakstam. Šo darbību veicina DLL, kas tiek vērtēta kā Blackmoon (KRBanker) ļaunprogrammatūras saimes variants, kas vēsturiski ir saistīts ar uzbrukumiem uzņēmumiem Dienvidkorejā, Amerikas Savienotajās Valstīs un Kanādā kopš tās parādīšanās 2015. gadā.
Likumīga uzņēmuma rīka ļaunprātīga izmantošana
Viens no izslēgšanas sarakstam pievienotajiem failiem ir “Setup.exe” — likumīga SyncFutureTec Company Limited utilīta. Šī programma ievieto failu “mysetup.exe”, kas identificēts kā SyncFuture TSM (Terminal Security Management) — komerciāls attālās uzraudzības un pārvaldības risinājums, ko izstrādājusi Nanjing Zhongke Huasai Technology Co., Ltd. Lai gan tas ir paredzēts uzņēmumu administrēšanai, šajā kampaņā tas tiek pārveidots par visaptverošu spiegošanas platformu.
Atbalsta komponenti un sistēmas manipulācija
Pēc izvietošanas tiek instalēti papildu elementi, lai sagatavotu un kontrolētu vidi:
- Partijas skripti, kas izveido pielāgotus direktorijus, modificē piekļuves kontroles sarakstus, maina darbvirsmas atļaujas un veic tīrīšanas un atjaunošanas uzdevumus.
- Orķestratora izpildāmais fails “MANC.exe”, kas koordinē pakalpojumus un nodrošina plašu darbību reģistrēšanu.
Operacionālā ietekme un stratēģiskā nozīme
Ļaunprātīgi izmantojot likumīgu uzņēmuma rīku kopā ar pielāgotu ļaunprogrammatūru, operatori iegūst attālinātu kontroli pār inficētiem galapunktiem, nepārtrauktu lietotāju aktivitāšu pārskatāmību un centralizētu mehānismu sensitīvu datu noplūdei. Koordinēta DLL sānu ielādes, privilēģiju eskalācijas, komerciālo rīku atkārtotas izmantošanas, antianalīzes pasākumu un drošības programmatūras apiešanas izmantošana atspoguļo augstu tehniskās brieduma pakāpi un skaidru nodomu saglabāt pastāvīgu, detalizētu kontroli pār apdraudētām sistēmām.
