Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Trojan bankar Trojan Bankar Blackmoon

Trojan Bankar Blackmoon

Nga MezoTrojan bankar, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar një fushatë aktive shumëfazore ndërhyrjeje që synon individë dhe organizata indiane. Operacioni duket se është i natyrës së spiunazhit kibernetik dhe mbështetet në një strukturë të shtresuar të derës së pasme për të siguruar akses të fshehtë afatgjatë në sisteme të kompromentuara.

Phishing si vektori fillestar i infeksionit

Fushata fillon me email-e phishing që maskohen si korrespondencë zyrtare nga Departamenti i Taksave mbi të Ardhurat i Indisë. Këto mesazhe i joshin marrësit të shkarkojnë një arkiv ZIP nën pretekstin e njoftimeve të gjobave tatimore. Pasi hapet, arkivi fillon zinxhirin e infeksionit që në fund të fundit mundëson monitorim të vazhdueshëm dhe vjedhje të të dhënave.

Arkiv i Armatosur dhe Ekzekutim i Fshehtë

Skedari ZIP i dorëzuar përmban pesë komponentë, të gjithë të fshehur përveç një skedari ekzekutues mashtrues të quajtur 'Inspection Document Review.exe'. Ky skedar keqpërdoret për të ngarkuar anash një bibliotekë të dëmshme me lidhje dinamike të ngulitur në arkiv. DLL-ja mashtruese kryen kontrolle të shmangies së debugger-it dhe komunikon me një server komande dhe kontrolli në distancë për të rimarrë ngarkesën e fazës tjetër.

Përshkallëzimi i Privilegjit dhe Maskimi i Procesit

Kodi shell i shkarkuar shfrytëzon një teknikë të bazuar në COM për të anashkaluar Kontrollin e Llogarisë së Përdoruesit (UAC), duke dhënë privilegje të larta. Pastaj ndryshon Bllokun e vet të Mjedisit të Procesit (PEB) për të imituar procesin legjitim të Windows explorer.exe, duke zvogëluar mundësinë e zbulimit nga mjetet dhe analistët e sigurisë.

Dorëzim i Ngarkesës Adaptive

Një fazë pasuese, '180.exe,' merret nga domeni eaxwwyr[.]cn. Ky skedar është një instalues 32-bitësh i Inno Setup që modifikon rrjedhën e ekzekutimit të tij në varësi të faktit nëse një program specifik sigurie është i pranishëm në hostin e infektuar, duke i lejuar malware-it të përshtasë dinamikisht taktikat e tij të shmangies.

Shmangia e Softuerit të Sigurisë dhe Lidhja Blackmoon

Kur zbulohet një softuer mbrojtës, programi keqdashës shmang çaktivizimin e drejtpërdrejtë. Në vend të kësaj, ai simulon lëvizjet e miut për të lundruar në ndërfaqen e sigurisë dhe për të shtuar në heshtje komponentë keqdashës në listën e përjashtimeve. Ky aktivitet lehtësohet nga një DLL e vlerësuar të jetë një variant i familjes së programeve keqdashëse Blackmoon (KBRanker), historikisht e lidhur me sulmet ndaj bizneseve në Korenë e Jugut, Shtetet e Bashkuara dhe Kanada që nga shfaqja e tij në vitin 2015.

Abuzimi i një mjeti legjitim të ndërmarrjes

Një nga skedarët e shtuar në listën e përjashtimeve është 'Setup.exe', një program legjitim nga SyncFutureTec Company Limited. Ky program nxjerr 'mysetup.exe', të identifikuar si SyncFuture TSM (Terminal Security Management), një zgjidhje komerciale për monitorim dhe menaxhim në distancë e zhvilluar nga Nanjing Zhongke Huasai Technology Co., Ltd. Edhe pse i projektuar për administrimin e ndërmarrjeve, ai është ripërdorur në këtë fushatë si një platformë gjithëpërfshirëse spiunazhi.

Komponentët Mbështetës dhe Manipulimi i Sistemit

Pas vendosjes, instalohen elementë shtesë për të përgatitur dhe kontrolluar mjedisin:

  • Skripte në grup që krijojnë drejtori të personalizuara, modifikojnë listat e kontrollit të aksesit, ndryshojnë lejet e desktopit dhe kryejnë detyra pastrimi dhe restaurimi.
  • Një ekzekutues orkestrues, 'MANC.exe', i cili koordinon shërbimet dhe mundëson regjistrim të gjerë të aktiviteteve.

Ndikimi Operacional dhe Rëndësia Strategjike

Duke abuzuar me një mjet legjitim të ndërmarrjes së bashku me programe keqdashëse të personalizuara, operatorët fitojnë kontroll të largët mbi pikat fundore të infektuara, dukshmëri të vazhdueshme në aktivitetin e përdoruesit dhe një mekanizëm të centralizuar për nxjerrjen e të dhënave të ndjeshme. Përdorimi i koordinuar i ngarkimit anësor të DLL-ve, përshkallëzimi i privilegjeve, ripërdorimi i mjeteve komerciale, masat kundër analizës dhe shmangia e softuerit të sigurisë pasqyrojnë një shkallë të lartë të pjekurisë teknike dhe një qëllim të qartë për të ruajtur kontroll të vazhdueshëm dhe të detajuar mbi sistemet e kompromentuara.

Në trend

Mashtrim me email të ndryshuar të statusit të...

Fishing, Spam
Të qëndrosh vigjilent kur merresh me email-e të papritura është thelbësore në peizazhin e kërcënimeve të sotme. Kriminelët kibernetikë imitojnë rregullisht shërbime të njohura për të krijuar një ndjenjë të rreme urgjence dhe besimi. Email-et e ashtuquajtura 'Statusi i Llogarisë cPanel Ndryshoi' janë një shembull i qartë: ato janë plotësisht të rreme dhe nuk lidhen me asnjë kompani, organizatë...

Më e shikuara

Po ngarkohet...