黑月银行木马
网络安全分析师发现了一项针对印度个人和组织的活跃的多阶段入侵活动。该行动本质上属于网络间谍活动,并依赖于多层后门框架来获取对受感染系统的长期隐蔽访问权限。
目录
网络钓鱼作为初始感染途径
该攻击活动始于伪装成印度所得税部门官方信函的网络钓鱼邮件。这些邮件诱骗收件人下载一个 ZIP 压缩文件,谎称是税务处罚通知。一旦打开,该压缩文件就会启动感染链,最终实现持续监控和数据窃取。
武器化的档案和隐秘的处决
交付的 ZIP 文件包含五个组件,除一个名为“Inspection Document Review.exe”的诱饵可执行文件外,其余组件均被隐藏。该文件被滥用,用于侧载嵌入在压缩包中的恶意动态链接库 (DLL)。该恶意 DLL 会执行调试器规避检查,并与远程命令与控制服务器通信以获取下一阶段的有效载荷。
权限提升和进程伪装
下载的 shellcode 利用基于 COM 的技术绕过用户帐户控制 (UAC),从而获得提升的权限。然后,它会修改自身的进程环境块 (PEB),以伪装成合法的 Windows explorer.exe 进程,从而降低被安全工具和分析人员检测到的可能性。
自适应有效载荷交付
后续阶段的“180.exe”文件是从域名 eaxwwyr[.]cn 获取的。该文件是一个 32 位 Inno Setup 安装程序,它会根据受感染主机上是否存在特定的安全软件来修改其执行流程,从而使恶意软件能够动态地调整其规避策略。
安全软件规避和黑月关联
当检测到防御软件时,恶意软件会避免直接将其禁用。相反,它会模拟鼠标移动来浏览安全界面,并悄悄地将恶意组件添加到排除列表中。这一操作由一个DLL文件完成,经评估,该文件是Blackmoon(KRBanker)恶意软件家族的一个变种。自2015年出现以来,该恶意软件家族曾多次攻击韩国、美国和加拿大的企业。
滥用合法企业工具
被添加到排除列表中的文件之一是“Setup.exe”,这是SyncFutureTec有限公司开发的合法实用程序。该程序会释放“mysetup.exe”,后者被识别为SyncFuture TSM(终端安全管理),这是一款由南京中科华赛科技有限公司开发的商业远程监控和管理解决方案。虽然它最初是为企业管理而设计的,但在此次攻击活动中,它被重新利用,成为一个全面的间谍平台。
支撑组件和系统操作
部署完成后,还需要安装其他组件来准备和控制环境:
- 批处理脚本,用于创建自定义目录、修改访问控制列表、更改桌面权限以及执行清理和恢复任务。
- 一个名为“MANC.exe”的协调器可执行文件,用于协调服务并启用广泛的活动日志记录。
运营影响和战略意义
通过滥用合法的企业工具并配合定制恶意软件,攻击者能够远程控制受感染的终端,持续监控用户活动,并集中窃取敏感数据。他们协同运用 DLL 侧加载、权限提升、商业工具重用、反分析措施以及安全软件规避等手段,展现出高度的技术成熟度,以及对受感染系统持续、精细化控制的明确意图。
