బ్లాక్‌మూన్ బ్యాంకింగ్ ట్రోజన్

సైబర్ భద్రతా విశ్లేషకులు భారతీయ వ్యక్తులు మరియు సంస్థలను లక్ష్యంగా చేసుకుని బహుళ-దశల చొరబాటు ప్రచారాన్ని కనుగొన్నారు. ఈ ఆపరేషన్ ప్రకృతిలో సైబర్-గూఢచర్యం వలె కనిపిస్తుంది మరియు రాజీపడిన వ్యవస్థలకు దీర్ఘకాలిక, రహస్య ప్రాప్యతను పొందడానికి లేయర్డ్ బ్యాక్‌డోర్ ఫ్రేమ్‌వర్క్‌పై ఆధారపడుతుంది.

ప్రారంభ ఇన్ఫెక్షన్ వెక్టర్‌గా ఫిషింగ్

ఈ ప్రచారం భారత ఆదాయపు పన్ను శాఖ నుండి అధికారిక ఉత్తర ప్రత్యుత్తరాలుగా మోసగించే ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతుంది. ఈ సందేశాలు గ్రహీతలను పన్ను జరిమానా నోటీసుల నెపంతో జిప్ ఆర్కైవ్‌ను డౌన్‌లోడ్ చేసుకునేలా ఆకర్షిస్తాయి. ఒకసారి తెరిచిన తర్వాత, ఆర్కైవ్ ఇన్ఫెక్షన్ గొలుసును ప్రారంభిస్తుంది, ఇది చివరికి నిరంతర పర్యవేక్షణ మరియు డేటా దొంగతనానికి వీలు కల్పిస్తుంది.

ఆయుధరూపం కలిగిన ఆర్కైవ్ మరియు స్టెల్తీ ఎగ్జిక్యూషన్

డెలివరీ చేయబడిన జిప్ ఫైల్ ఐదు భాగాలను కలిగి ఉంది, 'Inspection Document Review.exe' అనే డెకోయ్ ఎగ్జిక్యూటబుల్ తప్ప అన్నీ దాచబడ్డాయి. ఆర్కైవ్‌లో పొందుపరిచిన హానికరమైన డైనమిక్-లింక్ లైబ్రరీని సైడ్‌లోడ్ చేయడానికి ఈ ఫైల్ దుర్వినియోగం చేయబడింది. రోగ్ DLL డీబగ్గర్-ఎగవేత తనిఖీలను నిర్వహిస్తుంది మరియు తదుపరి దశ పేలోడ్‌ను తిరిగి పొందడానికి రిమోట్ కమాండ్-అండ్-కంట్రోల్ సర్వర్‌తో కమ్యూనికేట్ చేస్తుంది.

ప్రత్యేక హక్కుల పెంపుదల మరియు ప్రక్రియ ముసుగు వేయడం

డౌన్‌లోడ్ చేయబడిన షెల్‌కోడ్ యూజర్ అకౌంట్ కంట్రోల్ (UAC) ను దాటవేయడానికి COM- ఆధారిత సాంకేతికతను ఉపయోగించుకుంటుంది, ఇది అధిక అధికారాలను అందిస్తుంది. తరువాత ఇది చట్టబద్ధమైన Windows explorer.exe ప్రక్రియను అనుకరించడానికి దాని స్వంత ప్రాసెస్ ఎన్విరాన్‌మెంట్ బ్లాక్ (PEB) ను మారుస్తుంది, భద్రతా సాధనాలు మరియు విశ్లేషకులచే గుర్తించబడే సంభావ్యతను తగ్గిస్తుంది.

అడాప్టివ్ పేలోడ్ డెలివరీ

'180.exe' అనే తదుపరి దశ eaxwwyr[.]cn డొమైన్ నుండి తీసుకోబడింది. ఈ ఫైల్ 32-బిట్ ఇన్నో సెటప్ ఇన్‌స్టాలర్, ఇది సోకిన హోస్ట్‌లో నిర్దిష్ట భద్రతా సాఫ్ట్‌వేర్ ఉందా లేదా అనే దానిపై ఆధారపడి దాని అమలు ప్రవాహాన్ని మారుస్తుంది, ఇది మాల్వేర్ దాని ఎగవేత వ్యూహాలను డైనమిక్‌గా సర్దుబాటు చేయడానికి అనుమతిస్తుంది.

భద్రతా సాఫ్ట్‌వేర్ ఎగవేత మరియు బ్లాక్‌మూన్ లింకేజ్

రక్షణాత్మక సాఫ్ట్‌వేర్ గుర్తించబడినప్పుడు, మాల్వేర్ ప్రత్యక్ష నిష్క్రియాన్ని నివారిస్తుంది. బదులుగా, ఇది భద్రతా ఇంటర్‌ఫేస్‌ను నావిగేట్ చేయడానికి మరియు మినహాయింపు జాబితాకు హానికరమైన భాగాలను నిశ్శబ్దంగా జోడించడానికి మౌస్ కదలికలను అనుకరిస్తుంది. ఈ కార్యాచరణ బ్లాక్‌మూన్ (KRBanker) మాల్వేర్ కుటుంబం యొక్క వైవిధ్యంగా అంచనా వేయబడిన DLL ద్వారా సులభతరం చేయబడింది, ఇది 2015లో ఉద్భవించినప్పటి నుండి దక్షిణ కొరియా, యునైటెడ్ స్టేట్స్ మరియు కెనడాలోని వ్యాపారాలపై దాడులతో చారిత్రాత్మకంగా సంబంధం కలిగి ఉంది.

చట్టబద్ధమైన ఎంటర్‌ప్రైజ్ సాధనం దుర్వినియోగం

మినహాయింపు జాబితాకు జోడించిన ఫైల్‌లలో ఒకటి 'Setup.exe', ఇది SyncFutureTec కంపెనీ లిమిటెడ్ నుండి చట్టబద్ధమైన యుటిలిటీ. ఈ ప్రోగ్రామ్ 'mysetup.exe'ని వదిలివేస్తుంది, దీనిని SyncFuture TSM (టెర్మినల్ సెక్యూరిటీ మేనేజ్‌మెంట్)గా గుర్తిస్తారు, ఇది నాన్జింగ్ జోంగ్కే హువాసై టెక్నాలజీ కో., లిమిటెడ్ అభివృద్ధి చేసిన వాణిజ్య రిమోట్ పర్యవేక్షణ మరియు నిర్వహణ పరిష్కారం. ఎంటర్‌ప్రైజ్ పరిపాలన కోసం రూపొందించబడినప్పటికీ, ఇది ఈ ప్రచారంలో సమగ్ర గూఢచర్య వేదికగా పునర్నిర్మించబడింది.

సహాయక భాగాలు మరియు వ్యవస్థ మానిప్యులేషన్

విస్తరణ తరువాత, పర్యావరణాన్ని సిద్ధం చేయడానికి మరియు నియంత్రించడానికి అదనపు అంశాలు వ్యవస్థాపించబడతాయి:

• కస్టమ్ డైరెక్టరీలను సృష్టించే, యాక్సెస్ కంట్రోల్ జాబితాలను సవరించే, డెస్క్‌టాప్ అనుమతులను మార్చే మరియు శుభ్రపరిచే మరియు పునరుద్ధరణ పనులను చేసే బ్యాచ్ స్క్రిప్ట్‌లు.
• ఆర్కెస్ట్రాటర్ ఎక్జిక్యూటబుల్, 'MANC.exe,', ఇది సేవలను సమన్వయం చేస్తుంది మరియు విస్తృతమైన కార్యాచరణ లాగింగ్‌ను అనుమతిస్తుంది.

కార్యాచరణ ప్రభావం మరియు వ్యూహాత్మక ప్రాముఖ్యత

కస్టమ్ మాల్వేర్‌తో పాటు చట్టబద్ధమైన ఎంటర్‌ప్రైజ్ సాధనాన్ని దుర్వినియోగం చేయడం ద్వారా, ఆపరేటర్లు ఇన్‌ఫెక్ట్ చేయబడిన ఎండ్‌పాయింట్‌లపై రిమోట్ కంట్రోల్, వినియోగదారు కార్యకలాపాలలో నిరంతర దృశ్యమానత మరియు సున్నితమైన డేటా ఎక్స్‌ఫిల్ట్రేషన్ కోసం కేంద్రీకృత యంత్రాంగాన్ని పొందుతారు. DLL సైడ్‌లోడింగ్, ప్రివిలేజ్ ఎస్కలేషన్, వాణిజ్య-సాధన పునర్వినియోగం, విశ్లేషణ వ్యతిరేక చర్యలు మరియు భద్రతా-సాఫ్ట్‌వేర్ ఎగవేత యొక్క సమన్వయ ఉపయోగం అధిక స్థాయి సాంకేతిక పరిపక్వతను మరియు రాజీపడిన వ్యవస్థలపై నిరంతర, కణిక నియంత్రణను కొనసాగించాలనే స్పష్టమైన ఉద్దేశ్యాన్ని ప్రతిబింబిస్తుంది.