Trojan Perbankan Blackmoon
Penganalisis keselamatan siber telah mendedahkan kempen pencerobohan berbilang peringkat yang aktif yang disasarkan kepada individu dan organisasi India. Operasi ini nampaknya bersifat pengintipan siber dan bergantung pada rangka kerja pintu belakang berlapis untuk mendapatkan akses rahsia jangka panjang kepada sistem yang diceroboh.
Isi kandungan
Pancingan Data sebagai Vektor Jangkitan Awal
Kempen ini bermula dengan e-mel pancingan data yang menyamar sebagai surat-menyurat rasmi daripada Jabatan Cukai Pendapatan India. Mesej-mesej ini menarik penerima untuk memuat turun arkib ZIP dengan alasan notis penalti cukai. Sebaik sahaja dibuka, arkib tersebut memulakan rantaian jangkitan yang akhirnya membolehkan pemantauan berterusan dan kecurian data.
Arkib Senjata dan Pelaksanaan Secara Senyap
Fail ZIP yang dihantar mengandungi lima komponen, semuanya tersembunyi kecuali fail boleh laku decoy bernama 'Inspection Document Review.exe'. Fail ini disalahgunakan untuk memuatkan pustaka pautan dinamik berniat jahat yang terbenam dalam arkib. DLL penyangak melakukan pemeriksaan pengelakan penyahpepijat dan berkomunikasi dengan pelayan arahan dan kawalan jauh untuk mendapatkan muatan peringkat seterusnya.
Peningkatan Keistimewaan dan Penyamaran Proses
Shellcode yang dimuat turun memanfaatkan teknik berasaskan COM untuk memintas Kawalan Akaun Pengguna (UAC), memberikan keistimewaan yang lebih tinggi. Ia kemudian mengubah Blok Persekitaran Proses (PEB) sendiri untuk menyamar sebagai proses Windows explorer.exe yang sah, sekali gus mengurangkan kemungkinan pengesanan oleh alatan keselamatan dan penganalisis.
Penghantaran Muatan Adaptif
Peringkat seterusnya, '180.exe,' diambil daripada domain eaxwwyr[.]cn. Fail ini ialah pemasang Inno Setup 32-bit yang mengubah suai aliran pelaksanaannya bergantung pada sama ada perisian keselamatan tertentu terdapat pada hos yang dijangkiti, membolehkan perisian hasad melaraskan taktik pengelakannya secara dinamik.
Pengelakan Perisian Keselamatan dan Blackmoon Linkage
Apabila perisian pertahanan dikesan, perisian hasad tersebut mengelakkan penyahaktifan langsung. Sebaliknya, ia mensimulasikan pergerakan tetikus untuk menavigasi antara muka keselamatan dan secara senyap-senyap menambah komponen berniat jahat ke dalam senarai pengecualian. Aktiviti ini difasilitasi oleh DLL yang dinilai sebagai varian keluarga perisian hasad Blackmoon (KRBanker), yang secara sejarahnya dikaitkan dengan serangan ke atas perniagaan di Korea Selatan, Amerika Syarikat dan Kanada sejak kemunculannya pada tahun 2015.
Penyalahgunaan Alat Perusahaan yang Sah
Salah satu fail yang ditambahkan ke dalam senarai pengecualian ialah 'Setup.exe,' utiliti sah daripada SyncFutureTec Company Limited. Program ini menggugurkan 'mysetup.exe,' yang dikenal pasti sebagai SyncFuture TSM (Pengurusan Keselamatan Terminal), penyelesaian pemantauan dan pengurusan jarak jauh komersial yang dibangunkan oleh Nanjing Zhongke Huasai Technology Co., Ltd. Walaupun direka bentuk untuk pentadbiran perusahaan, ia digunakan semula dalam kempen ini sebagai platform pengintipan yang komprehensif.
Komponen Sokongan dan Manipulasi Sistem
Selepas penggunaan, elemen tambahan dipasang untuk menyediakan dan mengawal persekitaran:
- Skrip kelompok yang mencipta direktori tersuai, mengubah suai senarai kawalan akses, mengubah suai kebenaran desktop dan melaksanakan tugas pembersihan dan pemulihan.
- Boleh laku orkestrator, 'MANC.exe', yang menyelaras perkhidmatan dan membolehkan pembalakan aktiviti yang meluas.
Impak Operasi dan Kepentingan Strategik
Dengan menyalahgunakan alat perusahaan yang sah di samping perisian hasad tersuai, pengendali memperoleh kawalan jauh ke atas titik akhir yang dijangkiti, keterlihatan berterusan ke dalam aktiviti pengguna dan mekanisme berpusat untuk pengekstrakan data sensitif. Penggunaan pemuatan sisi DLL, peningkatan keistimewaan, penggunaan semula alat komersial, langkah anti-analisis dan pengelakan perisian keselamatan yang diselaraskan mencerminkan tahap kematangan teknikal yang tinggi dan niat yang jelas untuk mengekalkan kawalan berterusan dan terperinci ke atas sistem yang dikompromi.
