Trojan Ngân hàng Blackmoon
Các nhà phân tích an ninh mạng đã phát hiện một chiến dịch xâm nhập đa giai đoạn đang hoạt động nhằm vào các cá nhân và tổ chức ở Ấn Độ. Hoạt động này dường như mang tính chất gián điệp mạng và dựa vào một hệ thống cửa hậu nhiều lớp để có được quyền truy cập bí mật, lâu dài vào các hệ thống bị xâm nhập.
Mục lục
Tấn công lừa đảo (phishing) là phương thức lây nhiễm ban đầu.
Chiến dịch này bắt đầu bằng các email lừa đảo giả mạo thư từ chính thức của Cục Thuế thu nhập Ấn Độ. Những tin nhắn này dụ dỗ người nhận tải xuống một tệp tin nén ZIP với lý do là thông báo phạt thuế. Sau khi mở, tệp tin nén sẽ khởi động chuỗi lây nhiễm, cuối cùng cho phép theo dõi liên tục và đánh cắp dữ liệu.
Kho lưu trữ được vũ khí hóa và việc thực thi lén lút
Tệp ZIP được gửi đến chứa năm thành phần, tất cả đều được ẩn ngoại trừ một tệp thực thi giả mạo có tên 'Inspection Document Review.exe'. Tệp này bị lợi dụng để tải một thư viện liên kết động độc hại được nhúng trong tệp lưu trữ. DLL độc hại thực hiện các kiểm tra né tránh trình gỡ lỗi và liên lạc với máy chủ điều khiển từ xa để lấy tải trọng giai đoạn tiếp theo.
Sự leo thang đặc quyền và sự ngụy trang quy trình
Mã độc được tải xuống sử dụng kỹ thuật dựa trên COM để vượt qua Kiểm soát Tài khoản Người dùng (UAC), cấp quyền cao hơn. Sau đó, nó thay đổi Khối Môi trường Tiến trình (PEB) của chính nó để mạo danh tiến trình Windows explorer.exe hợp pháp, giảm khả năng bị phát hiện bởi các công cụ và nhà phân tích bảo mật.
Giao hàng tải trọng thích ứng
Giai đoạn tiếp theo, '180.exe,' được tải xuống từ tên miền eaxwwyr[.]cn. Tệp này là trình cài đặt Inno Setup 32-bit, điều chỉnh luồng thực thi của nó tùy thuộc vào việc phần mềm bảo mật cụ thể có mặt trên máy chủ bị nhiễm hay không, cho phép phần mềm độc hại điều chỉnh linh hoạt các chiến thuật né tránh của nó.
Né tránh phần mềm bảo mật và liên kết với Blackmoon
Khi phần mềm phòng thủ được phát hiện, phần mềm độc hại sẽ tránh bị vô hiệu hóa trực tiếp. Thay vào đó, nó mô phỏng các chuyển động chuột để điều hướng giao diện bảo mật và âm thầm thêm các thành phần độc hại vào danh sách loại trừ. Hoạt động này được thực hiện bởi một DLL được đánh giá là một biến thể của họ phần mềm độc hại Blackmoon (KRBanker), vốn có liên quan đến các cuộc tấn công vào các doanh nghiệp ở Hàn Quốc, Hoa Kỳ và Canada kể từ khi xuất hiện vào năm 2015.
Lạm dụng công cụ doanh nghiệp hợp pháp
Một trong những tập tin được thêm vào danh sách loại trừ là 'Setup.exe', một tiện ích hợp pháp từ Công ty TNHH SyncFutureTec. Chương trình này cài đặt 'mysetup.exe', được xác định là SyncFuture TSM (Quản lý An ninh Thiết bị đầu cuối), một giải pháp giám sát và quản lý từ xa thương mại được phát triển bởi Công ty TNHH Công nghệ Nanjing Zhongke Huasai. Mặc dù được thiết kế cho quản trị doanh nghiệp, nó được sử dụng lại trong chiến dịch này như một nền tảng gián điệp toàn diện.
Các thành phần hỗ trợ và thao tác hệ thống
Sau khi triển khai, các thành phần bổ sung được lắp đặt để chuẩn bị và kiểm soát môi trường:
- Các tập lệnh hàng loạt tạo thư mục tùy chỉnh, sửa đổi danh sách kiểm soát truy cập, thay đổi quyền truy cập máy tính để bàn và thực hiện các tác vụ dọn dẹp và khôi phục.
- Một tệp thực thi điều phối, 'MANC.exe,' có chức năng điều phối các dịch vụ và cho phép ghi nhật ký hoạt động chi tiết.
Tác động về mặt vận hành và tầm quan trọng chiến lược
Bằng cách lạm dụng một công cụ doanh nghiệp hợp pháp cùng với phần mềm độc hại tùy chỉnh, những kẻ điều hành có được quyền kiểm soát từ xa các thiết bị đầu cuối bị nhiễm, khả năng theo dõi liên tục hoạt động của người dùng và một cơ chế tập trung để đánh cắp dữ liệu nhạy cảm. Việc sử dụng phối hợp các kỹ thuật như tải DLL bất hợp pháp, leo thang đặc quyền, tái sử dụng công cụ thương mại, các biện pháp chống phân tích và né tránh phần mềm bảo mật phản ánh mức độ trưởng thành về mặt kỹ thuật và ý định rõ ràng nhằm duy trì quyền kiểm soát chi tiết và liên tục đối với các hệ thống bị xâm phạm.
