Blackmoon Banking Trojan
Аналитики в области кибербезопасности обнаружили активную многоэтапную кампанию по вторжению, направленную против индийских граждан и организаций. Операция, по всей видимости, носит характер кибершпионажа и использует многоуровневую структуру бэкдоров для получения долгосрочного скрытого доступа к скомпрометированным системам.
Оглавление
Фишинг как первоначальный вектор заражения
Кампания начинается с фишинговых писем, замаскированных под официальную корреспонденцию от Налогового управления Индии. Эти сообщения побуждают получателей загрузить ZIP-архив под видом уведомлений о налоговых штрафах. После открытия архив запускает цепочку заражения, которая в конечном итоге позволяет осуществлять постоянный мониторинг и кражу данных.
Архивирование с использованием оружия и скрытое исполнение
В доставленном ZIP-архиве содержится пять компонентов, все скрыты, за исключением фиктивного исполняемого файла с именем «Inspection Document Review.exe». Этот файл используется для загрузки вредоносной динамически подключаемой библиотеки, встроенной в архив. Вредоносная DLL выполняет проверки, позволяющие обойти отладчик, и взаимодействует с удаленным сервером управления для получения полезной нагрузки следующего этапа.
Повышение привилегий и маскировка процессов
Загруженный шеллкод использует COM-технологию для обхода контроля учетных записей пользователей (UAC), предоставляя расширенные привилегии. Затем он изменяет свой собственный блок среды процесса (PEB), чтобы имитировать легитимный процесс Windows explorer.exe, снижая вероятность обнаружения средствами безопасности и аналитиками.
Адаптивная доставка полезной нагрузки
На следующем этапе загружается файл '180.exe' из домена eaxwwyr[.]cn. Этот файл представляет собой 32-битный установщик Inno Setup, который изменяет свой ход выполнения в зависимости от наличия определенного программного обеспечения безопасности на зараженном хосте, что позволяет вредоносной программе динамически корректировать свои методы обхода защиты.
Обход систем безопасности с помощью программного обеспечения и связь с Blackmoon
При обнаружении защитного программного обеспечения вредоносная программа избегает прямой деактивации. Вместо этого она имитирует движения мыши для навигации по интерфейсу безопасности и незаметно добавляет вредоносные компоненты в список исключений. Эта деятельность осуществляется с помощью DLL-библиотеки, которая, по оценке, является вариантом семейства вредоносных программ Blackmoon (KRBanker), исторически связанной с атаками на предприятия в Южной Корее, США и Канаде с момента ее появления в 2015 году.
Злоупотребление законным корпоративным инструментом
В список исключений добавлен один из файлов — «Setup.exe», легитимная утилита от компании SyncFutureTec Company Limited. Эта программа устанавливает «mysetup.exe», идентифицированный как SyncFuture TSM (Terminal Security Management), коммерческое решение для удаленного мониторинга и управления, разработанное компанией Nanjing Zhongke Huasai Technology Co., Ltd. Хотя оно предназначено для корпоративного администрирования, в этой кампании оно используется как комплексная платформа для шпионажа.
Вспомогательные компоненты и управление системой
После развертывания устанавливаются дополнительные элементы для подготовки и контроля окружающей среды:
- Пакетные скрипты, создающие пользовательские каталоги, изменяющие списки контроля доступа, корректирующие разрешения для рабочих столов, а также выполняющие задачи очистки и восстановления.
- Исполняемый файл оркестратора, 'MANC.exe', который координирует работу служб и обеспечивает расширенное ведение журнала активности.
Оперативное воздействие и стратегическое значение
Используя легитимный корпоративный инструмент наряду со специально разработанным вредоносным ПО, операторы получают удаленный контроль над зараженными конечными точками, постоянный контроль за активностью пользователей и централизованный механизм для утечки конфиденциальных данных. Скоординированное использование установки DLL-библиотек, повышения привилегий, перепрофилирования коммерческих инструментов, мер противодействия анализу и обхода защитного программного обеспечения отражает высокую степень технической зрелости и явное намерение поддерживать постоянный, детальный контроль над скомпрометированными системами.
