Bančni trojanec Blackmoon
Analitiki kibernetske varnosti so odkrili aktivno večstopenjsko kampanjo vdorov, namenjeno indijskim posameznikom in organizacijam. Zdi se, da gre za kibernetsko vohunjenje in se za pridobitev dolgoročnega, prikritega dostopa do ogroženih sistemov opira na večplasten sistem zadnjih vrat.
Kazalo
Lažno predstavljanje kot začetni vektor okužbe
Kampanja se začne z lažnimi e-poštnimi sporočili, ki se izdajajo za uradno korespondenco indijskega davčnega urada. Ta sporočila prejemnike zvabijo k prenosu ZIP arhiva pod pretvezo davčnih obvestil o kazni. Ko je arhiv odprt, se sproži veriga okužbe, ki na koncu omogoči nenehno spremljanje in krajo podatkov.
Orožen arhiv in prikrita usmrtitev
Dostavljena datoteka ZIP vsebuje pet komponent, vse skrite razen izvedljive datoteke z imenom »Inspection Document Review.exe«. Ta datoteka se zlorablja za nalaganje zlonamerne knjižnice dinamičnih povezav, vdelane v arhiv. Lažna knjižnica DLL izvaja preverjanja za izogibanje odpravljanju napak in komunicira z oddaljenim strežnikom za upravljanje in nadzor, da pridobi koristni nanos naslednje stopnje.
Eskalacija privilegijev in maskiranje procesov
Prenesena shellcode uporablja tehniko, ki temelji na COM-u, za zaobide nadzor uporabniških računov (UAC) in podeli povišane privilegije. Nato spremeni svoj lastni blok procesnega okolja (PEB), da pooseblja legitimni proces Windows explorer.exe, s čimer zmanjša verjetnost odkritja s strani varnostnih orodij in analitikov.
Prilagodljiva dostava koristnega tovora
Naslednja faza, '180.exe', se pridobi iz domene eaxwwyr[.]cn. Ta datoteka je 32-bitni namestitveni program Inno Setup, ki spreminja svoj potek izvajanja glede na to, ali je na okuženem gostitelju prisotna določena varnostna programska oprema, kar zlonamerni programski opremi omogoča dinamično prilagajanje taktik izogibanja.
Izogibanje varnostni programski opremi in povezava Blackmoon
Ko je zaznana obrambna programska oprema, se zlonamerna programska oprema izogne neposredni deaktivaciji. Namesto tega simulira gibe miške za navigacijo po varnostnem vmesniku in neopazno dodaja zlonamerne komponente na seznam izključitev. To dejavnost omogoča DLL, za katerega je bilo ocenjeno, da je različica družine zlonamerne programske opreme Blackmoon (KRBanker), ki je bila od svojega pojava leta 2015 zgodovinsko povezana z napadi na podjetja v Južni Koreji, Združenih državah Amerike in Kanadi.
Zloraba legitimnega poslovnega orodja
Ena od datotek, dodanih na seznam izključitev, je »Setup.exe«, legitimno orodje podjetja SyncFutureTec Company Limited. Ta program izpusti datoteko »mysetup.exe«, identificirano kot SyncFuture TSM (Terminal Security Management), komercialna rešitev za oddaljeno spremljanje in upravljanje, ki jo je razvilo podjetje Nanjing Zhongke Huasai Technology Co., Ltd. Čeprav je zasnovana za upravljanje podjetij, je v tej kampanji uporabljena kot celovita platforma za vohunjenje.
Podporne komponente in upravljanje sistema
Po uvedbi se namestijo dodatni elementi za pripravo in nadzor okolja:
- Paketni skripti, ki ustvarjajo imenike po meri, spreminjajo sezname za nadzor dostopa, spreminjajo dovoljenja namizja ter izvajajo naloge čiščenja in obnavljanja.
- Izvedljiva datoteka orkestratorja »MANC.exe«, ki koordinira storitve in omogoča obsežno beleženje dejavnosti.
Operativni vpliv in strateški pomen
Z zlorabo legitimnega poslovnega orodja skupaj z zlonamerno programsko opremo po meri operaterji pridobijo oddaljeni nadzor nad okuženimi končnimi točkami, stalen vpogled v dejavnosti uporabnikov in centraliziran mehanizem za izkoriščanje občutljivih podatkov. Usklajena uporaba stranskega nalaganja DLL, stopnjevanja privilegijev, ponovne uporabe komercialnih orodij, ukrepov proti analizi in izogibanja varnostni programski opremi odraža visoko stopnjo tehnične zrelosti in jasen namen ohranjanja trajnega, natančnega nadzora nad ogroženimi sistemi.
