ब्ल्याकमुन बैंकिङ ट्रोजन
साइबर सुरक्षा विश्लेषकहरूले भारतीय व्यक्ति र संस्थाहरूलाई लक्षित गरी सक्रिय बहु-चरणीय घुसपैठ अभियानको पर्दाफास गरेका छन्। यो अपरेशन साइबर-जासूसी प्रकृतिको देखिन्छ र सम्झौता गरिएका प्रणालीहरूमा दीर्घकालीन, गोप्य पहुँच प्राप्त गर्न तहबद्ध ब्याकडोर फ्रेमवर्कमा निर्भर गर्दछ।
सामग्रीको तालिका
प्रारम्भिक संक्रमण भेक्टरको रूपमा फिसिङ
यो अभियान भारतको आयकर विभागबाट आधिकारिक पत्राचारको रूपमा लुकाएर फिसिङ इमेलहरूबाट सुरु हुन्छ। यी सन्देशहरूले प्राप्तकर्ताहरूलाई कर जरिवाना सूचनाहरूको बहानामा ZIP अभिलेख डाउनलोड गर्न लोभ्याउँछन्। एक पटक खोलिएपछि, अभिलेखले संक्रमण श्रृंखला सुरु गर्छ जसले अन्ततः निरन्तर निगरानी र डेटा चोरीलाई सक्षम बनाउँछ।
हतियारयुक्त अभिलेख र गोप्य कार्यान्वयन
डेलिभर गरिएको ZIP फाइलमा पाँचवटा कम्पोनेन्टहरू छन्, 'निरीक्षण कागजात समीक्षा.exe' नामक डिकोय एक्जिक्युटेबल बाहेक सबै लुकेका छन्। यो फाइल अभिलेखमा एम्बेड गरिएको दुर्भावनापूर्ण गतिशील-लिङ्क लाइब्रेरीलाई साइडलोड गर्न दुरुपयोग गरिएको छ। दुष्ट DLL ले डिबगर-इभेसन जाँचहरू गर्दछ र अर्को-चरण पेलोड पुन: प्राप्त गर्न रिमोट कमाण्ड-एन्ड-कन्ट्रोल सर्भरसँग सञ्चार गर्दछ।
विशेषाधिकार वृद्धि र प्रक्रियाको मास्करेडिङ
डाउनलोड गरिएको शेलकोडले प्रयोगकर्ता खाता नियन्त्रण (UAC) लाई बाइपास गर्न COM-आधारित प्रविधिको प्रयोग गर्दछ, जसले उच्च विशेषाधिकारहरू प्रदान गर्दछ। त्यसपछि यसले वैध Windows explorer.exe प्रक्रियाको प्रतिरूपण गर्न आफ्नै प्रक्रिया वातावरण ब्लक (PEB) लाई परिवर्तन गर्दछ, जसले सुरक्षा उपकरणहरू र विश्लेषकहरू द्वारा पत्ता लगाउने सम्भावना कम गर्दछ।
अनुकूलनीय पेलोड डेलिभरी
अर्को चरण, '180.exe', eaxwwyr[.]cn डोमेनबाट प्राप्त गरिन्छ। यो फाइल ३२-बिट इनो सेटअप स्थापनाकर्ता हो जसले संक्रमित होस्टमा विशिष्ट सुरक्षा सफ्टवेयर उपस्थित छ कि छैन भन्ने आधारमा यसको कार्यान्वयन प्रवाहलाई परिमार्जन गर्दछ, जसले मालवेयरलाई गतिशील रूपमा यसको चोरी रणनीतिहरू समायोजन गर्न अनुमति दिन्छ।
सुरक्षा सफ्टवेयर चोरी र ब्ल्याकमुन लिंकेज
जब रक्षात्मक सफ्टवेयर पत्ता लाग्छ, मालवेयरले प्रत्यक्ष निष्क्रियताबाट बचाउँछ। यसको सट्टा, यसले सुरक्षा इन्टरफेस नेभिगेट गर्न र चुपचाप बहिष्करण सूचीमा दुर्भावनापूर्ण घटकहरू थप्न माउस चालहरूको नक्कल गर्दछ। यो गतिविधिलाई ब्ल्याकमून (KRBanker) मालवेयर परिवारको एक प्रकारको रूपमा मूल्याङ्कन गरिएको DLL द्वारा सहज बनाइएको छ, जुन ऐतिहासिक रूपमा २०१५ मा देखा परेदेखि दक्षिण कोरिया, संयुक्त राज्य अमेरिका र क्यानडामा व्यवसायहरूमा आक्रमणहरूसँग सम्बन्धित छ।
वैध उद्यम उपकरणको दुरुपयोग
बहिष्करण सूचीमा थपिएका फाइलहरू मध्ये एक 'Setup.exe' हो, जुन SyncFutureTec कम्पनी लिमिटेडको वैध उपयोगिता हो। यो कार्यक्रमले 'mysetup.exe' लाई छोड्छ, जसलाई SyncFuture TSM (टर्मिनल सेक्युरिटी म्यानेजमेन्ट) को रूपमा चिनिन्छ, जुन नान्जिङ झोङके हुआसाई टेक्नोलोजी कम्पनी लिमिटेड द्वारा विकसित एक व्यावसायिक रिमोट निगरानी र व्यवस्थापन समाधान हो। यद्यपि उद्यम प्रशासनको लागि डिजाइन गरिएको हो, यो अभियानमा यसलाई एक व्यापक जासूसी प्लेटफर्मको रूपमा पुन: प्रयोग गरिएको छ।
सहायक कम्पोनेन्टहरू र प्रणाली हेरफेर
तैनाथी पछि, वातावरण तयार पार्न र नियन्त्रण गर्न थप तत्वहरू स्थापना गरिन्छ:
- ब्याच स्क्रिप्टहरू जसले अनुकूलन निर्देशिकाहरू सिर्जना गर्दछ, पहुँच नियन्त्रण सूचीहरू परिमार्जन गर्दछ, डेस्कटप अनुमतिहरू परिवर्तन गर्दछ, र सफाई र पुनर्स्थापना कार्यहरू गर्दछ।
- एक अर्केस्ट्रेटर कार्यान्वयनयोग्य, 'MANC.exe', जसले सेवाहरूको समन्वय गर्दछ र व्यापक गतिविधि लगिङ सक्षम गर्दछ।
सञ्चालन प्रभाव र रणनीतिक महत्व
अनुकूलन मालवेयरसँगै वैध उद्यम उपकरणको दुरुपयोग गरेर, अपरेटरहरूले संक्रमित अन्त्य बिन्दुहरूमा रिमोट नियन्त्रण, प्रयोगकर्ता गतिविधिमा निरन्तर दृश्यता, र संवेदनशील डेटा एक्सफिल्टरेशनको लागि केन्द्रीकृत संयन्त्र प्राप्त गर्छन्। DLL साइडलोडिङ, विशेषाधिकार वृद्धि, व्यावसायिक-उपकरण पुन: प्रयोग, विश्लेषण विरोधी उपायहरू, र सुरक्षा-सफ्टवेयर चोरीको समन्वित प्रयोगले उच्च स्तरको प्राविधिक परिपक्वता र सम्झौता गरिएका प्रणालीहरूमा निरन्तर, दानेदार नियन्त्रण कायम राख्ने स्पष्ट उद्देश्यलाई प्रतिबिम्बित गर्दछ।
