Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Bankieren Trojan Blackmoon Banking Trojan

Blackmoon Banking Trojan

Tegen Mezo in Bankieren Trojan, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurity-analisten hebben een actieve, meerfasige inbraakcampagne ontdekt die gericht is op Indiase individuen en organisaties. De operatie lijkt een vorm van cyberespionage te zijn en maakt gebruik van een gelaagd achterdeursysteem om heimelijke toegang tot gecompromitteerde systemen te verkrijgen voor de lange termijn.

Phishing als initiële infectievector

De campagne begint met phishing-e-mails die zich voordoen als officiële correspondentie van de Indiase belastingdienst. Deze berichten verleiden ontvangers om een ZIP-bestand te downloaden onder het mom van een boete. Zodra het bestand is geopend, start de infectieketen die uiteindelijk leidt tot continue monitoring en diefstal van gegevens.

Gewapend archief en heimelijke executie

Het geleverde ZIP-bestand bevat vijf componenten, die allemaal verborgen zijn, behalve een lok-uitvoerbaar bestand met de naam 'Inspection Document Review.exe'. Dit bestand wordt misbruikt om een kwaadaardige dynamische linkbibliotheek (DLL) te sideloaden die in het archief is ingebed. De malafide DLL voert controles uit om debugger te omzeilen en communiceert met een externe command-and-controlserver om de volgende fase van de payload op te halen.

Privilege-escalatie en procesvermomming

De gedownloade shellcode maakt gebruik van een COM-gebaseerde techniek om Gebruikersaccountbeheer (UAC) te omzeilen en verhoogde bevoegdheden te verkrijgen. Vervolgens wijzigt de shellcode zijn eigen Process Environment Block (PEB) om zich voor te doen als het legitieme Windows explorer.exe-proces, waardoor de kans op detectie door beveiligingsprogramma's en analisten kleiner wordt.

Adaptieve ladinglevering

Een volgende stap, '180.exe', wordt opgehaald van het domein eaxwwyr[.]cn. Dit bestand is een 32-bits Inno Setup-installatieprogramma dat zijn uitvoeringsstroom aanpast afhankelijk van de aanwezigheid van specifieke beveiligingssoftware op de geïnfecteerde host. Hierdoor kan de malware zijn ontwijkingstactieken dynamisch aanpassen.

Beveiligingssoftware-ontwijking en koppeling met Blackmoon

Wanneer beveiligingssoftware wordt gedetecteerd, ontwijkt de malware directe deactivering. In plaats daarvan simuleert het muisbewegingen om door de beveiligingsinterface te navigeren en stiekem kwaadaardige componenten aan de uitsluitingslijst toe te voegen. Deze activiteit wordt mogelijk gemaakt door een DLL die wordt beschouwd als een variant van de Blackmoon (KRBanker) malwarefamilie, die sinds haar ontstaan in 2015 historisch gezien in verband wordt gebracht met aanvallen op bedrijven in Zuid-Korea, de Verenigde Staten en Canada.

Misbruik van een legitiem bedrijfsinstrument

Een van de bestanden die aan de uitsluitingslijst is toegevoegd, is 'Setup.exe', een legitiem hulpprogramma van SyncFutureTec Company Limited. Dit programma installeert 'mysetup.exe', dat wordt geïdentificeerd als SyncFuture TSM (Terminal Security Management), een commerciële oplossing voor bewaking en beheer op afstand, ontwikkeld door Nanjing Zhongke Huasai Technology Co., Ltd. Hoewel het is ontworpen voor bedrijfsbeheer, wordt het in deze campagne misbruikt als een uitgebreid spionageplatform.

Ondersteunende componenten en systeemmanipulatie

Na de implementatie worden aanvullende elementen geïnstalleerd om de omgeving voor te bereiden en te beheren:

  • Batchscripts die aangepaste mappen aanmaken, toegangsbeheerlijsten wijzigen, bureaubladrechten aanpassen en opschoon- en hersteltaken uitvoeren.
  • Een orchestrator-uitvoerbaar bestand, 'MANC.exe', dat services coördineert en uitgebreide logboekregistratie van activiteiten mogelijk maakt.

Operationele impact en strategische betekenis

Door een legitieme bedrijfssoftware te misbruiken in combinatie met op maat gemaakte malware, verkrijgen de aanvallers controle op afstand over geïnfecteerde systemen, continu inzicht in gebruikersactiviteit en een gecentraliseerd mechanisme voor het exfiltreren van gevoelige gegevens. Het gecoördineerde gebruik van DLL-sideloading, privilege-escalatie, hergebruik van commerciële software, anti-analysemaatregelen en het omzeilen van beveiligingssoftware getuigt van een hoge mate van technische volwassenheid en een duidelijke intentie om aanhoudende, gedetailleerde controle over gecompromitteerde systemen te behouden.

Trending

Meest bekeken

Bezig met laden...