Blackmoon банкарски тројански кон
Аналитичари сајбер безбедности открили су активну вишестепену кампању упада усмерену на индијске појединце и организације. Операција изгледа као сајбер шпијунажа и ослања се на слојевити систем заштитних врата како би се добио дугорочни, тајни приступ компромитованим системима.
Преглед садржаја
Фишинг као почетни вектор инфекције
Кампања почиње фишинг имејловима који се маскирају као званична преписка Пореске управе Индије. Ове поруке наводе примаоце да преузму ZIP архиву под изговором обавештења о пореским казнама. Једном отворена, архива покреће ланац инфекције који на крају омогућава стално праћење и крађу података.
Оружјена архива и прикривено погубљење
Достављена ZIP датотека садржи пет компоненти, све скривене осим извршне датотеке-лажног фајла под називом „Inspection Document Review.exe“. Ова датотека се злоупотребљава за бочно учитавање злонамерне библиотеке динамичких веза уграђене у архиву. Лажна DLL датотека врши провере заобилажења дебагера и комуницира са удаљеним сервером за команде и контролу како би преузела следећи корисни садржај.
Ескалација привилегија и маскирање процеса
Преузети шелкод користи технику засновану на COM-у да би заобишао контролу корисничких налога (UAC), додељујући повишене привилегије. Затим мења сопствени блок окружења процеса (PEB) како би се имитирао као легитимни процес Windows explorer.exe, смањујући вероватноћу откривања од стране безбедносних алата и аналитичара.
Адаптивна испорука корисног терета
Следећа фаза, „180.exe“, се преузима са домена eaxwwyr[.]cn. Ова датотека је 32-битни инсталатер Inno Setup-а који мења свој ток извршавања у зависности од тога да ли је одређени безбедносни софтвер присутан на зараженом хосту, омогућавајући злонамерном софтверу да динамички прилагођава своје тактике избегавања.
Избегавање безбедносног софтвера и повезивање са Blackmoon-ом
Када се открије одбрамбени софтвер, злонамерни софтвер избегава директну деактивацију. Уместо тога, симулира покрете миша како би се кретао кроз безбедносни интерфејс и неприметно додао злонамерне компоненте на листу изузетака. Ову активност олакшава DLL за који се процењује да је варијанта породице злонамерних програма Blackmoon (KRBanker), која је историјски повезана са нападима на предузећа у Јужној Кореји, Сједињеним Државама и Канади од свог појављивања 2015. године.
Злоупотреба легитимног пословног алата
Једна од датотека додатих на листу изузетака је „Setup.exe“, легитимни услужни програм компаније SyncFutureTec Company Limited. Овај програм избацује „mysetup.exe“, идентификован као SyncFuture TSM (Terminal Security Management), комерцијално решење за даљинско праћење и управљање које је развила компанија Nanjing Zhongke Huasai Technology Co., Ltd. Иако је дизајнирано за администрацију предузећа, у овој кампањи је пренамењено као свеобухватна платформа за шпијунажу.
Помоћне компоненте и манипулација системом
Након распоређивања, инсталирају се додатни елементи за припрему и контролу окружења:
- Групне скрипте које креирају прилагођене директоријуме, мењају листе контроле приступа, мењају дозволе за радну површину и обављају задатке чишћења и враћања.
- Извршна датотека оркестратора, „MANC.exe“, која координира сервисе и омогућава опсежно евидентирање активности.
Оперативни утицај и стратешки значај
Злоупотребом легитимног пословног алата заједно са прилагођеним малвером, оператери добијају даљинску контролу над зараженим крајњим тачкама, континуирани увид у активности корисника и централизовани механизам за крађу осетљивих података. Координисана употреба бочног учитавања DLL датотека, ескалације привилегија, пренамене комерцијалних алата, мера против анализе и избегавања безбедносног софтвера одражава висок степен техничке зрелости и јасну намеру да се одржи стална, детаљна контрола над угроженим системима.
