黑月銀行木馬
網路安全分析師發現了一項針對印度個人和組織的活躍的多階段入侵活動。該行動本質上屬於網路間諜活動,並依賴多層後門框架來獲取對受感染系統的長期隱藏存取權。
目錄
網路釣魚作為初始感染途徑
這項攻擊活動始於偽裝成印度所得稅部門官方信函的網路釣魚郵件。這些郵件誘騙收件人下載一個 ZIP 壓縮文件,謊稱是稅務處罰通知。一旦打開,該壓縮檔案就會啟動感染鏈,最終實現持續監控和資料竊取。
武器化的檔案和隱密的處決
交付的 ZIP 檔案包含五個元件,除一個名為「Inspection Document Review.exe」的誘餌可執行檔外,其餘元件均被隱藏。該檔案被濫用,用於側載嵌入在壓縮套件中的惡意動態連結程式庫 (DLL)。此惡意 DLL 會執行偵錯器規避檢查,並與遠端命令與控制伺服器通訊以取得下一階段的有效載荷。
權限提升和進程偽裝
下載的 shellcode 利用基於 COM 的技術繞過使用者帳戶控制 (UAC),從而獲得提升的權限。然後,它會修改自身的進程環境區塊 (PEB),以偽裝成合法的 Windows explorer.exe 進程,從而降低被安全性工具和分析人員偵測到的可能性。
自適應有效載荷交付
後續階段的「180.exe」檔案是從網域 eaxwwyr[.]cn 取得的。該檔案是一個 32 位元 Inno Setup 安裝程序,它會根據受感染主機上是否存在特定的安全軟體來修改其執行流程,從而使惡意軟體能夠動態地調整其規避策略。
安全軟體規避和黑月鏈接
當偵測到防禦軟體時,惡意軟體會避免直接將其停用。相反,它會模擬滑鼠移動來瀏覽安全介面,並悄悄地將惡意元件添加到排除清單中。這項操作由一個DLL檔完成,經評估,該檔案是Blackmoon(KRBanker)惡意軟體家族的一個變種。自2015年出現以來,該惡意軟體家族曾多次攻擊韓國、美國和加拿大的企業。
濫用合法企業工具
被加入到排除清單中的檔案之一是“Setup.exe”,這是SyncFutureTec有限公司開發的合法實用程式。該程式會釋放“mysetup.exe”,後者被識別為SyncFuture TSM(終端安全管理),這是一款由南京中科華賽科技有限公司開發的商業遠端監控和管理解決方案。雖然它最初是為企業管理而設計的,但在這次攻擊活動中,它被重新利用,成為一個全面的間諜平台。
支撐組件和系統操作
部署完成後,還需要安裝其他元件來準備和控制環境:
- 批次腳本,用於建立自訂目錄、修改存取控制清單、變更桌面權限以及執行清理和復原任務。
- 一個名為“MANC.exe”的協調器可執行文件,用於協調服務並啟用廣泛的活動日誌記錄。
營運影響和策略意義
透過濫用合法的企業工具並配合客製化惡意軟體,攻擊者能夠遠端控制受感染的終端,持續監控用戶活動,並集中竊取敏感資料。他們協同運用 DLL 側加載、權限提升、商業工具重用、反分析措施以及安全軟體規避等手段,展現出高度的技術成熟度,以及對受感染系統持續、精細化控制的明確意圖。
