Blackmoon Banking Trojan
Nettsikkerhetsanalytikere har avdekket en aktiv flertrinns inntrengingskampanje rettet mot indiske enkeltpersoner og organisasjoner. Operasjonen ser ut til å være av cyberspionasje-karakter og er avhengig av et lagdelt bakdørsrammeverk for å få langsiktig, skjult tilgang til kompromitterte systemer.
Innholdsfortegnelse
Phishing som den første infeksjonsvektoren
Kampanjen starter med phishing-e-poster som utgir seg for å være offisiell korrespondanse fra Indias inntektsskatteavdeling. Disse meldingene lokker mottakerne til å laste ned et ZIP-arkiv under påskudd av skatteforseelser. Når arkivet åpnes, starter det infeksjonskjeden som til slutt muliggjør vedvarende overvåking og datatyveri.
Våpenbesatt arkiv og snikende henrettelse
Den leverte ZIP-filen inneholder fem komponenter, alle skjulte bortsett fra en kjørbar fil med lokkefil kalt «Inspection Document Review.exe». Denne filen misbrukes til å sidelaste et skadelig dynamisk lenkebibliotek som er innebygd i arkivet. Den uønskede DLL-en utfører feilsøkingskontroller og kommuniserer med en ekstern kommando- og kontrollserver for å hente nyttelasten i neste trinn.
Privilegieeskalering og prosessmaskerading
Den nedlastede skallkoden bruker en COM-basert teknikk for å omgå brukerkontokontroll (UAC), og gir dermed utvidede rettigheter. Deretter endrer den sin egen prosessmiljøblokk (PEB) for å etterligne den legitime Windows explorer.exe-prosessen, noe som reduserer sannsynligheten for at den blir oppdaget av sikkerhetsverktøy og analytikere.
Adaptiv nyttelastlevering
Et påfølgende trinn, '180.exe', hentes fra domenet eaxwwyr[.]cn. Denne filen er et 32-biters Inno Setup-installasjonsprogram som endrer utførelsesflyten avhengig av om spesifikk sikkerhetsprogramvare er tilstede på den infiserte verten, slik at skadevaren dynamisk kan justere unnvikelsestaktikkene sine.
Sikkerhetsprogramvareunngåelse og Blackmoon-kobling
Når defensiv programvare oppdages, unngår skadevaren direkte deaktivering. I stedet simulerer den musebevegelser for å navigere i sikkerhetsgrensesnittet og legger i stillhet til skadelige komponenter på ekskluderingslisten. Denne aktiviteten forenkles av en DLL som vurderes å være en variant av Blackmoon (KRBanker)-skadevarefamilien, som historisk sett har vært assosiert med angrep på bedrifter i Sør-Korea, USA og Canada siden fremveksten i 2015.
Misbruk av et legitimt forretningsverktøy
En av filene som er lagt til ekskluderingslisten er «Setup.exe», et legitimt verktøy fra SyncFutureTec Company Limited. Dette programmet fjerner «mysetup.exe», identifisert som SyncFuture TSM (Terminal Security Management), en kommersiell fjernovervåkings- og administrasjonsløsning utviklet av Nanjing Zhongke Huasai Technology Co., Ltd. Selv om den er designet for bedriftsadministrasjon, er den i denne kampanjen omgjort til en omfattende spionasjeplattform.
Støttekomponenter og systemmanipulering
Etter utplasseringen installeres ytterligere elementer for å forberede og kontrollere miljøet:
- Batch-skript som oppretter egendefinerte mapper, endrer tilgangskontrolllister, endrer skrivebordstillatelser og utfører oppryddings- og gjenopprettingsoppgaver.
- En orkestrator-kjørbar fil, «MANC.exe», som koordinerer tjenester og muliggjør omfattende aktivitetslogging.
Operasjonell innvirkning og strategisk betydning
Ved å misbruke et legitimt bedriftsverktøy sammen med tilpasset skadelig programvare, får operatørene fjernkontroll over infiserte endepunkter, kontinuerlig innsikt i brukeraktivitet og en sentralisert mekanisme for utvinning av sensitive data. Den koordinerte bruken av DLL-sidelasting, privilegieeskalering, gjenbruk av kommersielle verktøy, antianalysetiltak og omgåelse av sikkerhetsprogramvare gjenspeiler en høy grad av teknisk modenhet og en klar intensjon om å opprettholde vedvarende, detaljert kontroll over kompromitterte systemer.
