มัลแวร์แบล็กมูนแบงก์กิ้งโทรจัน
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปฏิบัติการโจมตีแบบหลายขั้นตอนที่มุ่งเป้าไปที่บุคคลและองค์กรในอินเดีย ปฏิบัติการนี้ดูเหมือนจะเป็นการจารกรรมทางไซเบอร์ และอาศัยโครงสร้างแบ็กดอร์แบบหลายชั้นเพื่อเข้าถึงระบบที่ถูกบุกรุกอย่างลับๆ ในระยะยาว
สารบัญ
การฟิชชิ่งเป็นพาหะเริ่มต้นของการติดเชื้อ
แคมเปญนี้เริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมแปลงเป็นจดหมายทางการจากกรมสรรพากรของอินเดีย ข้อความเหล่านี้ล่อลวงผู้รับให้ดาวน์โหลดไฟล์ ZIP โดยอ้างว่าเป็นหนังสือแจ้งเตือนการปรับภาษี เมื่อเปิดไฟล์แล้ว ไฟล์ดังกล่าวจะเริ่มต้นห่วงโซ่การติดเชื้อซึ่งในที่สุดจะทำให้สามารถติดตามและขโมยข้อมูลได้อย่างต่อเนื่อง
คลังข้อมูลที่ถูกดัดแปลงเป็นอาวุธและการประหารชีวิตอย่างลับๆ
ไฟล์ ZIP ที่ส่งมานั้นประกอบด้วยส่วนประกอบห้าส่วน ซึ่งทั้งหมดถูกซ่อนไว้ ยกเว้นไฟล์ปฏิบัติการล่อลวงชื่อ 'Inspection Document Review.exe' ไฟล์นี้ถูกนำไปใช้ในทางที่ผิดเพื่อติดตั้งไลบรารีแบบไดนามิกที่เป็นอันตรายซึ่งฝังอยู่ในไฟล์เก็บถาวร ไลบรารีแบบไดนามิกที่เป็นอันตรายนี้จะทำการตรวจสอบการหลบเลี่ยงการดีบักเกอร์และสื่อสารกับเซิร์ฟเวอร์ควบคุมระยะไกลเพื่อดึงข้อมูลเพย์โหลดในขั้นตอนต่อไป
การยกระดับสิทธิ์และการปลอมแปลงกระบวนการ
เชลล์โค้ดที่ดาวน์โหลดมาใช้เทคนิคที่ใช้ COM ในการข้ามการควบคุมบัญชีผู้ใช้ (UAC) ทำให้ได้รับสิทธิ์ระดับสูง จากนั้นจะแก้ไข Process Environment Block (PEB) ของตัวเองเพื่อปลอมตัวเป็นกระบวนการ explorer.exe ของ Windows ที่ถูกต้อง ลดโอกาสในการตรวจจับโดยเครื่องมือและนักวิเคราะห์ด้านความปลอดภัย
การส่งมอบเพย์โหลดแบบปรับเปลี่ยนได้
ในขั้นตอนต่อมา ไฟล์ '180.exe' จะถูกดึงมาจากโดเมน eaxwwyr[.]cn ไฟล์นี้เป็นโปรแกรมติดตั้ง Inno Setup แบบ 32 บิต ซึ่งจะปรับเปลี่ยนลำดับการทำงานโดยขึ้นอยู่กับว่ามีซอฟต์แวร์รักษาความปลอดภัยเฉพาะอยู่ในเครื่องที่ติดไวรัสหรือไม่ ทำให้มัลแวร์สามารถปรับกลยุทธ์การหลบเลี่ยงการตรวจจับได้อย่างไดนามิก
การหลีกเลี่ยงซอฟต์แวร์รักษาความปลอดภัยและการเชื่อมโยงกับ Blackmoon
เมื่อตรวจพบซอฟต์แวร์ป้องกัน มัลแวร์จะหลีกเลี่ยงการปิดใช้งานโดยตรง แต่จะจำลองการเคลื่อนไหวของเมาส์เพื่อนำทางไปยังส่วนติดต่อด้านความปลอดภัย และค่อยๆ เพิ่มส่วนประกอบที่เป็นอันตรายลงในรายการยกเว้น การกระทำนี้เกิดขึ้นได้โดยไฟล์ DLL ที่ได้รับการประเมินว่าเป็นตัวแปรของตระกูลมัลแวร์ Blackmoon (KRBanker) ซึ่งมีความเกี่ยวข้องกับการโจมตีธุรกิจในเกาหลีใต้ สหรัฐอเมริกา และแคนาดามาตั้งแต่เริ่มปรากฏตัวในปี 2015
การใช้เครื่องมือขององค์กรอย่างถูกต้องตามกฎหมายในทางที่ผิด
หนึ่งในไฟล์ที่ถูกเพิ่มเข้าไปในรายการยกเว้นคือ 'Setup.exe' ซึ่งเป็นยูทิลิตี้ที่ถูกต้องตามกฎหมายจากบริษัท SyncFutureTec จำกัด โปรแกรมนี้จะติดตั้ง 'mysetup.exe' ซึ่งระบุว่าเป็น SyncFuture TSM (Terminal Security Management) ซึ่งเป็นโซลูชันการตรวจสอบและจัดการระยะไกลเชิงพาณิชย์ที่พัฒนาโดยบริษัท Nanjing Zhongke Huasai Technology Co., Ltd. แม้ว่าจะออกแบบมาเพื่อการบริหารจัดการระดับองค์กร แต่ในแคมเปญนี้กลับนำมาใช้เป็นแพลตฟอร์มสอดแนมแบบครบวงจร
ส่วนประกอบสนับสนุนและการจัดการระบบ
หลังจากการติดตั้งระบบเสร็จสิ้น จะมีการติดตั้งองค์ประกอบเพิ่มเติมเพื่อเตรียมและควบคุมสภาพแวดล้อม:
- สคริปต์แบบแบตช์ที่สร้างไดเร็กทอรีแบบกำหนดเอง แก้ไขรายการควบคุมการเข้าถึง เปลี่ยนแปลงสิทธิ์การเข้าถึงเดสก์ท็อป และดำเนินการล้างข้อมูลและกู้คืนระบบ
- ไฟล์ปฏิบัติการควบคุมระบบ 'MANC.exe' ทำหน้าที่ประสานงานบริการต่างๆ และช่วยให้สามารถบันทึกกิจกรรมได้อย่างครอบคลุม
ผลกระทบต่อการดำเนินงานและความสำคัญเชิงกลยุทธ์
ด้วยการใช้เครื่องมือขององค์กรที่ถูกต้องตามกฎหมายควบคู่ไปกับมัลแวร์ที่สร้างขึ้นเอง ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกล มองเห็นกิจกรรมของผู้ใช้ได้อย่างต่อเนื่อง และมีกลไกส่วนกลางสำหรับการขโมยข้อมูลสำคัญ การใช้เทคนิคการติดตั้ง DLL การยกระดับสิทธิ์ การนำเครื่องมือเชิงพาณิชย์มาใช้ใหม่ มาตรการต่อต้านการวิเคราะห์ และการหลีกเลี่ยงซอฟต์แวร์รักษาความปลอดภัยอย่างเป็นระบบ สะท้อนให้เห็นถึงความเชี่ยวชาญทางเทคนิคในระดับสูงและความตั้งใจที่ชัดเจนในการรักษาการควบคุมอย่างละเอียดและต่อเนื่องเหนือระบบที่ถูกบุกรุก
