Банківський троян Blackmoon
Аналітики з кібербезпеки виявили активну багатоетапну кампанію вторгнення, спрямовану на окремих осіб та організації в Індії. Операція, схоже, має характер кібершпигунства та спирається на багаторівневу систему бекдорів для отримання довгострокового прихованого доступу до скомпрометованих систем.
Зміст
Фішинг як початковий вектор зараження
Кампанія починається з фішингових електронних листів, маскованих під офіційне листування від Податкового департаменту Індії. Ці повідомлення спонукають одержувачів завантажити ZIP-архів під приводом податкових штрафів. Після відкриття архів запускає ланцюг зараження, який зрештою забезпечує постійний моніторинг та крадіжку даних.
Збройний архів та прихована страта
Надісланий ZIP-файл містить п'ять компонентів, усі приховані, крім виконуваного файлу-приманки під назвою «Inspection Document Review.exe». Цей файл використовується для завантаження шкідливої динамічної бібліотеки, вбудованої в архів. Шахрайська DLL-бібліотека виконує перевірки налагоджувача на обхід перевірки та зв'язується з віддаленим сервером командного контролю для отримання наступного корисного навантаження.
Ескалація привілеїв та маскування процесів
Завантажений шелл-код використовує техніку на основі COM для обходу контролю облікових записів користувачів (UAC), надаючи підвищені привілеї. Потім він змінює власний блок середовища процесу (PEB), щоб імітувати легітимний процес Windows explorer.exe, зменшуючи ймовірність виявлення інструментами безпеки та аналітиками.
Адаптивна доставка корисного навантаження
Наступний етап, «180.exe», отримується з домену eaxwwyr[.]cn. Цей файл є 32-розрядним інсталятором Inno Setup, який змінює свій потік виконання залежно від того, чи присутнє певне програмне забезпечення безпеки на зараженому хості, дозволяючи шкідливому програмному забезпеченню динамічно налаштовувати свою тактику ухилення.
Ухилення від програмного забезпечення безпеки та зв'язок з Blackmoon
Коли виявляється захисне програмне забезпечення, шкідливе програмне забезпечення уникає прямої деактивації. Натомість воно імітує рухи миші для навігації інтерфейсом безпеки та непомітно додає шкідливі компоненти до списку виключень. Ця діяльність здійснюється за допомогою DLL, яка оцінюється як варіант сімейства шкідливих програм Blackmoon (KRBanker), що історично пов'язане з атаками на підприємства в Південній Кореї, Сполучених Штатах та Канаді з моменту його появи в 2015 році.
Зловживання законним інструментом підприємства
Один із файлів, доданих до списку виключень, – це «Setup.exe» – легітимна утиліта від SyncFutureTec Company Limited. Ця програма видаляє «mysetup.exe», ідентифікований як SyncFuture TSM (Terminal Security Management) – комерційне рішення для віддаленого моніторингу та управління, розроблене Nanjing Zhongke Huasai Technology Co., Ltd. Хоча воно розроблене для адміністрування підприємств, у цій кампанії його перепрофілюють як комплексну шпигунську платформу.
Допоміжні компоненти та маніпулювання системою
Після розгортання встановлюються додаткові елементи для підготовки та контролю середовища:
- Пакетні скрипти, що створюють користувацькі каталоги, змінюють списки контролю доступу, права доступу до робочого столу та виконують завдання очищення та відновлення.
- Виконуваний файл оркестратора «MANC.exe», який координує служби та забезпечує розширене ведення журналу активності.
Операційний вплив та стратегічне значення
Зловживаючи легітимним корпоративним інструментом разом зі спеціалізованим шкідливим програмним забезпеченням, оператори отримують віддалений контроль над зараженими кінцевими точками, постійний контроль активності користувачів та централізований механізм для вилучення конфіденційних даних. Скоординоване використання стороннього завантаження DLL, ескалації привілеїв, перепрофілювання комерційних інструментів, заходів антианалізу та уникнення програмного забезпечення безпеки відображає високий ступінь технічної зрілості та чіткий намір підтримувати постійний, детальний контроль над скомпрометованими системами.
