Bankový trójsky kôň Blackmoon
Analytici kybernetickej bezpečnosti odhalili aktívnu viacstupňovú intrúznu kampaň zameranú na indických jednotlivcov a organizácie. Operácia sa javí ako kybernetická špionáž a spolieha sa na viacvrstvový systém zadných vrátok na získanie dlhodobého a tajného prístupu k napadnutým systémom.
Obsah
Phishing ako počiatočný vektor infekcie
Kampaň začína phishingovými e-mailmi maskovanými ako oficiálna korešpondencia od indického daňového úradu. Tieto správy lákajú príjemcov k stiahnutiu ZIP archívu pod zámienkou daňových pokút. Po otvorení archívu sa spustí reťazec infekcie, ktorý v konečnom dôsledku umožňuje neustále monitorovanie a krádež údajov.
Zbraňovaný archív a tajná poprava
Doručený ZIP súbor obsahuje päť komponentov, všetky skryté okrem návnadového spustiteľného súboru s názvom „Inspection Document Review.exe“. Tento súbor sa zneužíva na načítanie škodlivej dynamickej knižnice vloženej do archívu. Falošná knižnica DLL vykonáva kontroly obchádzania ladiacim programom a komunikuje so vzdialeným serverom príkazov a riadenia, aby načítala užitočné zaťaženie nasledujúcej fázy.
Eskalácia privilégií a maskovanie procesov
Stiahnutý shellcode využíva techniku založenú na architektúre COM na obídenie kontroly používateľských kont (UAC) a udeľovanie zvýšených oprávnení. Následne mení svoj vlastný blok prostredia procesu (PEB) tak, aby sa vydával za legitímny proces Windows explorer.exe, čím znižuje pravdepodobnosť odhalenia bezpečnostnými nástrojmi a analytikmi.
Adaptívne doručovanie užitočného zaťaženia
V ďalšej fáze sa z domény eaxwwyr[.]cn načíta súbor „180.exe“. Tento súbor je 32-bitový inštalátor Inno Setup, ktorý upravuje svoj postup vykonávania v závislosti od toho, či je na infikovanom hostiteľovi prítomný konkrétny bezpečnostný softvér, čo umožňuje malvéru dynamicky upravovať svoje taktiky obchádzania.
Úniky bezpečnostného softvéru a prepojenie Blackmoon
Keď sa zistí obranný softvér, malvér sa vyhne priamej deaktivácii. Namiesto toho simuluje pohyby myši, aby sa pohyboval v bezpečnostnom rozhraní a nenápadne pridával škodlivé komponenty do zoznamu vylúčení. Túto aktivitu uľahčuje knižnica DLL, ktorá je považovaná za variant rodiny malvéru Blackmoon (KRBanker), ktorý sa od svojho vzniku v roku 2015 historicky spája s útokmi na podniky v Južnej Kórei, Spojených štátoch a Kanade.
Zneužívanie legitímneho podnikového nástroja
Jeden zo súborov pridaných do zoznamu vylúčení je „Setup.exe“, legitímny nástroj od spoločnosti SyncFutureTec Company Limited. Tento program odstráni súbor „mysetup.exe“, identifikovaný ako SyncFuture TSM (Terminal Security Management), komerčné riešenie pre vzdialené monitorovanie a správu vyvinuté spoločnosťou Nanjing Zhongke Huasai Technology Co., Ltd. Hoci je určené na podnikovú správu, v tejto kampani je prepracované ako komplexná špionážna platforma.
Podporné komponenty a manipulácia so systémom
Po nasadení sa nainštalujú ďalšie prvky na prípravu a riadenie prostredia:
- Dávkové skripty, ktoré vytvárajú vlastné adresáre, upravujú zoznamy prístupových práv, menia povolenia na pracovnej ploche a vykonávajú úlohy čistenia a obnovy.
- Spustiteľný súbor orchestratoru s názvom „MANC.exe“, ktorý koordinuje služby a umožňuje rozsiahle protokolovanie aktivít.
Prevádzkový dopad a strategický význam
Zneužívaním legitímneho podnikového nástroja spolu s vlastným malvérom získavajú operátori diaľkovú kontrolu nad infikovanými koncovými bodmi, nepretržitý prehľad o aktivite používateľov a centralizovaný mechanizmus na odstraňovanie citlivých údajov. Koordinované používanie bočného načítavania DLL, eskalácie privilégií, opätovného použitia komerčných nástrojov, opatrení proti analýze a obchádzania bezpečnostného softvéru odráža vysoký stupeň technickej vyspelosti a jasný zámer udržiavať trvalú a detailnú kontrolu nad napadnutými systémami.
