Oferta rabatowa na wiele licencji
Baza danych zagrożeń Trojan bankowy Trojan bankowy Blackmoon

Trojan bankowy Blackmoon

Do Mezo w Trojan bankowy, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa odkryli aktywną, wieloetapową kampanię włamań wymierzoną w osoby i organizacje w Indiach. Operacja ta wydaje się mieć charakter cybernetycznego szpiegostwa i opiera się na wielowarstwowej strukturze backdoor, aby uzyskać długotrwały, tajny dostęp do zainfekowanych systemów.

Phishing jako pierwotny wektor infekcji

Kampania rozpoczyna się od wiadomości e-mail typu phishing, podszywających się pod oficjalną korespondencję z indyjskiego Urzędu Podatkowego. Wiadomości te nakłaniają odbiorców do pobrania archiwum ZIP pod pretekstem zawiadomień o karach podatkowych. Po otwarciu archiwum inicjuje ono łańcuch infekcji, który ostatecznie umożliwia ciągłe monitorowanie i kradzież danych.

Uzbrojone archiwum i skryta egzekucja

Dostarczony plik ZIP zawiera pięć komponentów, wszystkie ukryte, z wyjątkiem pliku wykonywalnego o nazwie „Inspection Document Review.exe”. Plik ten jest wykorzystywany do załadowania złośliwej biblioteki DLL osadzonej w archiwum. Nieuczciwa biblioteka DLL przeprowadza testy unikania debuggera i komunikuje się ze zdalnym serwerem poleceń (C&C) w celu pobrania ładunku kolejnego etapu.

Eskalacja uprawnień i maskowanie procesów

Pobrany kod powłoki wykorzystuje technikę opartą na modelu COM, aby ominąć Kontrolę Konta Użytkownika (UAC), przyznając podwyższone uprawnienia. Następnie modyfikuje własny Blok Środowiska Procesu (PEB), aby podszywać się pod legalny proces Windows explorer.exe, zmniejszając prawdopodobieństwo wykrycia przez narzędzia bezpieczeństwa i analityków.

Adaptacyjne dostarczanie ładunku

Kolejny etap, „180.exe”, jest pobierany z domeny eaxwwyr[.]cn. Ten plik to 32-bitowy instalator Inno Setup, który modyfikuje swój przebieg wykonywania w zależności od obecności określonego oprogramowania zabezpieczającego na zainfekowanym hoście, umożliwiając złośliwemu oprogramowaniu dynamiczne dostosowywanie taktyki unikania zabezpieczeń.

Unikanie oprogramowania zabezpieczającego i powiązanie z Blackmoon

Po wykryciu oprogramowania obronnego złośliwe oprogramowanie unika bezpośredniej dezaktywacji. Zamiast tego symuluje ruchy myszy, aby poruszać się po interfejsie zabezpieczeń i dyskretnie dodaje złośliwe komponenty do listy wykluczeń. Działanie to jest wspomagane przez bibliotekę DLL, którą uznano za wariant złośliwego oprogramowania z rodziny Blackmoon (KRBanker), historycznie kojarzonej z atakami na firmy w Korei Południowej, Stanach Zjednoczonych i Kanadzie od momentu jej pojawienia się w 2015 roku.

Nadużycie legalnego narzędzia przedsiębiorstwa

Jednym z plików dodanych do listy wykluczeń jest „Setup.exe”, legalne narzędzie firmy SyncFutureTec Company Limited. Program ten usuwa plik „mysetup.exe”, zidentyfikowany jako SyncFuture TSM (Terminal Security Management), komercyjne rozwiązanie do zdalnego monitorowania i zarządzania opracowane przez Nanjing Zhongke Huasai Technology Co., Ltd. Chociaż zostało zaprojektowane do administracji przedsiębiorstwem, w tej kampanii zostało wykorzystane jako kompleksowa platforma szpiegowska.

Komponenty pomocnicze i manipulacja systemem

Po wdrożeniu instalowane są dodatkowe elementy w celu przygotowania i kontrolowania środowiska:

  • Skrypty wsadowe, które tworzą niestandardowe katalogi, modyfikują listy kontroli dostępu, zmieniają uprawnienia pulpitu i wykonują zadania czyszczenia i przywracania.
  • Plik wykonywalny koordynatora „MANC.exe”, który koordynuje usługi i umożliwia szczegółowe rejestrowanie aktywności.

Wpływ operacyjny i znaczenie strategiczne

Wykorzystując legalne narzędzie firmowe wraz ze specjalnie opracowanym złośliwym oprogramowaniem, operatorzy uzyskują zdalną kontrolę nad zainfekowanymi punktami końcowymi, stały wgląd w aktywność użytkowników oraz scentralizowany mechanizm eksfiltracji poufnych danych. Skoordynowane wykorzystanie bocznego ładowania bibliotek DLL, eskalacji uprawnień, reorganizacji narzędzi komercyjnych, środków zapobiegających analizie i unikania zabezpieczeń oprogramowania odzwierciedla wysoki poziom dojrzałości technicznej i wyraźny zamiar utrzymania trwałej, szczegółowej kontroli nad zainfekowanymi systemami.

Popularne

Oszustwo e-mailowe dotyczące zmiany statusu konta...

Phishing, Spam
Zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest kluczowe w dzisiejszym krajobrazie zagrożeń. Cyberprzestępcy rutynowo podszywają się pod znane serwisy, aby stworzyć fałszywe poczucie pilności i zaufania. Tak zwane e-maile „zmieniony status konta cPanel” są tego wyraźnym przykładem: są całkowicie fałszywe i nie są powiązane z żadnymi legalnymi firmami, organizacjami ani...

Najczęściej oglądane

Ładowanie...