Blackmoon Banking Trojan
Cybersäkerhetsanalytiker har avslöjat en aktiv intrångskampanj i flera steg riktad mot indiska individer och organisationer. Operationen verkar vara av cyberspionagekaraktär och förlitar sig på ett bakdörrssystem i flera lager för att få långsiktig, hemlig åtkomst till komprometterade system.
Innehållsförteckning
Nätfiske som den initiala infektionsvektorn
Kampanjen börjar med nätfiskemejl som utger sig för att vara officiell korrespondens från Indiens inkomstskattemyndighet. Dessa meddelanden lockar mottagarna att ladda ner ett ZIP-arkiv under förevändning att vara skattestraff. När arkivet öppnas initierar det infektionskedjan som i slutändan möjliggör kontinuerlig övervakning och datastöld.
Vapenförsett arkiv och smygande avrättning
Den levererade ZIP-filen innehåller fem komponenter, alla dolda förutom en körbar fil med namnet "Inspection Document Review.exe". Denna fil missbrukas för att sidladda ett skadligt dynamiskt länkbibliotek som är inbäddat i arkivet. Den oönskade DLL-filen utför felsökningskontroller och kommunicerar med en fjärrkommando- och kontrollserver för att hämta nästa nyttolast.
Eskalering av privilegier och processmaskering
Den nedladdade skalkoden använder en COM-baserad teknik för att kringgå användarkontokontroll (UAC) och bevilja förhöjda privilegier. Den ändrar sedan sitt eget processmiljöblock (PEB) för att imitera den legitima Windows explorer.exe-processen, vilket minskar sannolikheten för upptäckt av säkerhetsverktyg och analytiker.
Adaptiv nyttolastleverans
Ett efterföljande steg, '180.exe', hämtas från domänen eaxwwyr[.]cn. Denna fil är ett 32-bitars Inno Setup-installationsprogram som modifierar sitt exekveringsflöde beroende på om specifik säkerhetsprogramvara finns på den infekterade värden, vilket gör att skadlig programvara dynamiskt kan justera sina undanflyktstaktik.
Undvikande av säkerhetsprogram och Blackmoon-länkning
När defensiv programvara upptäcks undviker den skadliga programvaran direkt deaktivering. Istället simulerar den musrörelser för att navigera i säkerhetsgränssnittet och lägger i tysthet till skadliga komponenter i undantagslistan. Denna aktivitet underlättas av en DLL som bedöms vara en variant av Blackmoon (KRBanker)-familjen av skadliga komponenter, historiskt sett förknippad med attacker mot företag i Sydkorea, USA och Kanada sedan dess uppkomst 2015.
Missbruk av ett legitimt företagsverktyg
En av filerna som lagts till i undantagslistan är 'Setup.exe', ett legitimt verktyg från SyncFutureTec Company Limited. Detta program tar bort 'mysetup.exe', identifierat som SyncFuture TSM (Terminal Security Management), en kommersiell lösning för fjärrövervakning och hantering utvecklad av Nanjing Zhongke Huasai Technology Co., Ltd. Även om den är utformad för företagsadministration, används den i den här kampanjen som en omfattande spionplattform.
Stödjande komponenter och systemmanipulation
Efter driftsättningen installeras ytterligare element för att förbereda och kontrollera miljön:
- Batchskript som skapar anpassade kataloger, ändrar åtkomstkontrollistor, ändrar skrivbordsbehörigheter och utför rensnings- och återställningsuppgifter.
- En orkestratorkörbar fil, 'MANC.exe', som koordinerar tjänster och möjliggör omfattande aktivitetsloggning.
Operativ påverkan och strategisk betydelse
Genom att missbruka ett legitimt företagsverktyg tillsammans med anpassad skadlig kod får operatörerna fjärrkontroll över infekterade slutpunkter, kontinuerlig insyn i användaraktivitet och en centraliserad mekanism för extraktion av känsliga data. Den samordnade användningen av DLL-sidladdning, privilegieeskalering, återanvändning av kommersiella verktyg, antianalysåtgärder och kringgående av säkerhetsprogramvara återspeglar en hög grad av teknisk mognad och en tydlig avsikt att upprätthålla ihållande, detaljerad kontroll över komprometterade system.
