Trojan sa Pagbabangko ng Blackmoon

Natuklasan ng mga analyst ng cybersecurity ang isang aktibong kampanya ng panghihimasok na may maraming yugto na naglalayong sa mga indibidwal at organisasyon ng India. Ang operasyon ay tila isang cyber-espionage at umaasa sa isang layered backdoor framework upang makakuha ng pangmatagalang, palihim na access sa mga nakompromisong sistema.

Phishing bilang Paunang Salik ng Impeksyon

Nagsisimula ang kampanya sa mga phishing email na nagkukunwaring opisyal na sulat mula sa Income Tax Department of India. Hinihikayat ng mga mensaheng ito ang mga tatanggap na mag-download ng ZIP archive sa ilalim ng pagkukunwari ng mga abiso ng multa sa buwis. Kapag nabuksan na, sisimulan ng archive ang kadena ng impeksyon na sa huli ay nagbibigay-daan sa patuloy na pagsubaybay at pagnanakaw ng data.

Armasisadong Arkibo at Palihim na Pagpatay

Ang naihatid na ZIP file ay naglalaman ng limang bahagi, lahat ay nakatago maliban sa isang decoy executable na pinangalanang 'Inspection Document Review.exe.' Ang file na ito ay inaabuso upang i-sideload ang isang malisyosong dynamic-link library na naka-embed sa archive. Ang rogue DLL ay nagsasagawa ng mga debugger-evasion check at nakikipag-ugnayan sa isang remote command-and-control server upang makuha ang susunod na yugto ng payload.

Pagpapataas ng Pribilehiyo at Pagbabalatkayo ng Proseso

Gumagamit ang na-download na shellcode ng COM-based na pamamaraan upang malampasan ang User Account Control (UAC), na nagbibigay ng mas mataas na mga pribilehiyo. Pagkatapos ay binabago nito ang sarili nitong Process Environment Block (PEB) upang gayahin ang lehitimong proseso ng Windows explorer.exe, na binabawasan ang posibilidad na matukoy ito ng mga security tool at analyst.

Paghahatid ng Adaptive Payload

Ang kasunod na yugto, ang '180.exe,' ay kinukuha mula sa domain na eaxwwyr[.]cn. Ang file na ito ay isang 32-bit na Inno Setup installer na nagbabago sa daloy ng pagpapatupad nito depende sa kung mayroong partikular na security software sa nahawaang host, na nagpapahintulot sa malware na pabago-bagong isaayos ang mga taktika ng pag-iwas nito.

Pag-iwas sa Software ng Seguridad at Blackmoon Linkage

Kapag natukoy ang defensive software, iniiwasan ng malware ang direktang pag-deactivate. Sa halip, ginagaya nito ang mga galaw ng mouse upang mag-navigate sa security interface at tahimik na magdagdag ng mga malisyosong bahagi sa listahan ng mga hindi kasama. Ang aktibidad na ito ay pinapadali ng isang DLL na tinasa bilang isang variant ng pamilya ng malware na Blackmoon (KRBanker), na dating iniuugnay sa mga pag-atake sa mga negosyo sa South Korea, Estados Unidos, at Canada simula nang lumitaw ito noong 2015.

Pag-abuso sa Isang Lehitimong Kasangkapan ng Negosyo

Isa sa mga file na idinagdag sa listahan ng mga hindi kasama ay ang 'Setup.exe,' isang lehitimong utility mula sa SyncFutureTec Company Limited. Inalis ng programang ito ang 'mysetup.exe,' na kinilala bilang SyncFuture TSM (Terminal Security Management), isang komersyal na solusyon sa remote monitoring at pamamahala na binuo ng Nanjing Zhongke Huasai Technology Co., Ltd. Bagama't idinisenyo para sa administrasyon ng negosyo, ginagamit itong muli sa kampanyang ito bilang isang komprehensibong plataporma ng paniniktik.

Mga Suportang Bahagi at Manipulasyon ng Sistema

Kasunod ng pag-deploy, ang mga karagdagang elemento ay inilalagay upang ihanda at kontrolin ang kapaligiran:

• Mga batch script na lumilikha ng mga pasadyang direktoryo, nagbabago ng mga listahan ng kontrol sa pag-access, nagbabago ng mga pahintulot sa desktop, at nagsasagawa ng mga gawain sa paglilinis at pagpapanumbalik.
• Isang executable na orchestrator, ang 'MANC.exe,' na nagko-coordinate ng mga serbisyo at nagbibigay-daan sa malawakang pag-log ng aktibidad.

Epekto sa Operasyon at Istratehikong Kahalagahan

Sa pamamagitan ng pag-abuso sa isang lehitimong enterprise tool kasama ng custom malware, nagkakaroon ang mga operator ng remote control sa mga nahawaang endpoint, patuloy na visibility sa aktibidad ng user, at isang sentralisadong mekanismo para sa pag-exfiltration ng sensitibong data. Ang koordinadong paggamit ng DLL sideloading, privilege escalation, commercial-tool repurposing, anti-analysis measures, at security-software evasion ay sumasalamin sa mataas na antas ng teknikal na maturity at malinaw na intensyon na mapanatili ang persistent at detalyadong kontrol sa mga nakompromisong system.