የሩሲያ ንግዶችን ለማጥቃት አጥቂዎች ውስብስብ ማልዌር ይጠቀማሉ

ካለፈው ዓመት መጨረሻ ጀምሮ የባንክ ትሮጃን ለማሰራጨት አዲስ ተንኮል አዘል ዘመቻ መከታተል ጀመርን። አጥቂዎቹ የሩስያ ኩባንያዎችን ማለትም የኮርፖሬት ተጠቃሚዎችን በማበላሸት ላይ ያተኮሩ ነበር. ተንኮል አዘል ዘመቻው ቢያንስ ለአንድ አመት የሰራ ሲሆን ከባንክ ትሮጃን በተጨማሪ አጥቂዎቹ የተለያዩ የሶፍትዌር መሳሪያዎችን መጠቀም ጀመሩ። እነዚህ ተጠቅመው የታሸገ ልዩ ጫኝ ያካትታሉ ኤን.ኤስ.ኤስ., እና ስፓይዌር, እሱም እንደ ታዋቂው ህጋዊ የ Yandex Punto ሶፍትዌር ተመስሏል. አንድ ጊዜ አጥቂዎቹ የተጎጂውን ኮምፒዩተር ማበላሸት ከቻሉ የኋላ በር ከዚያም የባንክ ትሮጃን ይጫኑ።

ለተንኮል አዘል ዌርቸው፣ አጥቂዎቹ የAV ምርቶችን ለማለፍ ብዙ ትክክለኛ (በዚያን ጊዜ) ዲጂታል ሰርተፍኬቶችን እና ልዩ ዘዴዎችን ተጠቅመዋል። ተንኮል አዘል ዘመቻው በርካታ ቁጥር ያላቸውን የሩስያ ባንኮችን ያነጣጠረ ሲሆን በተለይ ትኩረት የሚስብ ነው ምክንያቱም አጥቂዎቹ በተነጣጠሩ ጥቃቶች ውስጥ ብዙ ጊዜ ጥቅም ላይ የሚውሉ ዘዴዎችን ማለትም በፋይናንሺያል ማጭበርበር ብቻ ያልተነሳሱ ጥቃቶችን ስለሚጠቀሙ ነው። በዚህ ተንኮል-አዘል ዘመቻ እና ቀደም ሲል ትልቅ ታዋቂነት በተሰጠው ትልቅ ክስተት መካከል አንዳንድ ተመሳሳይነቶችን ልብ ልንል እንችላለን። እየተነጋገርን ያለነው ስለ ባንክ ትሮጃን ስለተጠቀመ የሳይበር ወንጀለኛ ቡድን ነው። አኑናክ/ካርባንክ.

አጥቂዎቹ ማልዌርን የጫኑት በነባሪነት በዊንዶውስ (localization) ውስጥ የሩስያ ቋንቋን በሚጠቀሙ ኮምፒውተሮች ላይ ብቻ ነው። የትሮጃን ዋና ስርጭት ቬክተር ብዝበዛ ያለው የWord ሰነድ ነበር። CVE-2012-0158, ለሰነዱ እንደ አባሪ የተላከ. ከታች ያሉት ቅጽበታዊ ገጽ እይታዎች እንደነዚህ ያሉ የውሸት ሰነዶችን ገጽታ ያሳያሉ. የመጀመሪያው ሰነድ "የክፍያ መጠየቂያ ቁጥር 522375-FLORL-14-115.doc" እና ሁለተኛው "kontrakt87.doc" የሚል ርዕስ አለው, በሞባይል ኦፕሬተር ሜጋፎን የቴሌኮሙኒኬሽን አገልግሎት አቅርቦት ውል ቅጂ ነው.

ሩዝ. 1. የማስገር ሰነድ.

ሩዝ. 2. ሌላ የማስገር ሰነድ ማሻሻያ።

የሚከተሉት እውነታዎች አጥቂዎቹ የሩስያ የንግድ ድርጅቶችን ኢላማ አድርገው እንደነበር ያመለክታሉ።

• በተጠቀሰው ርዕስ ላይ የውሸት ሰነዶችን በመጠቀም ማልዌር ማሰራጨት;
• የአጥቂዎች ዘዴዎች እና የሚጠቀሙባቸው ተንኮል አዘል መሳሪያዎች;
• በአንዳንድ ሊተገበሩ በሚችሉ ሞጁሎች ውስጥ ወደ ቢዝነስ መተግበሪያዎች አገናኞች;
• በዚህ ዘመቻ ውስጥ ጥቅም ላይ የዋሉ ተንኮል-አዘል ጎራዎች ስሞች።

አጥቂዎች በተበላሸ ስርዓት ላይ የሚጭኗቸው ልዩ የሶፍትዌር መሳሪያዎች የስርዓቱን የርቀት መቆጣጠሪያ እንዲያገኙ እና የተጠቃሚውን እንቅስቃሴ እንዲቆጣጠሩ ያስችላቸዋል። እነዚህን ተግባራት ለማከናወን የጀርባ በር ይጭናሉ እና የዊንዶውስ መለያ ይለፍ ቃል ለማግኘት ወይም አዲስ መለያ ለመፍጠር ይሞክራሉ። አጥቂዎች ኪይሎገር (ኪይሎገር)፣ የዊንዶው ክሊፕቦርድ መስረቅ እና ከስማርት ካርዶች ጋር ለመስራት ልዩ ሶፍትዌር ይጠቀማሉ። ይህ ቡድን ከተጎጂው ኮምፒዩተር ጋር በተመሳሳይ የአካባቢ አውታረመረብ ላይ ያሉ ሌሎች ኮምፒውተሮችን ለማበላሸት ሞክሯል።

የ ESET LiveGrid የቴሌሜትሪ ስርዓታችን የማልዌር ስርጭት ስታቲስቲክስን በፍጥነት እንድንከታተል ያስችለናል፣ በተጠቀሰው ዘመቻ አጥቂዎች የሚጠቀሙባቸውን የማልዌር ስርጭትን በተመለከተ አስደሳች መልክዓ ምድራዊ ስታቲስቲክስ አቅርቦልናል።

ሩዝ. 3. በዚህ ተንኮል-አዘል ዘመቻ ጥቅም ላይ የዋለው የማልዌር ጂኦግራፊያዊ ስርጭት ላይ ስታቲስቲክስ።

ማልዌር በመጫን ላይ

አንድ ተጠቃሚ በተጋላጭ ስርዓት ላይ ብዝበዛ ያለው ተንኮል-አዘል ሰነድ ከከፈተ በኋላ፣ NSISን በመጠቀም የታሸገ ልዩ ማውረጃ ይወርዳል እና እዚያ ይከናወናል። በስራው መጀመሪያ ላይ ፕሮግራሙ እዚያ ውስጥ አራሚዎች መኖራቸውን ወይም በቨርቹዋል ማሽን አውድ ውስጥ ለመሮጥ የዊንዶው አካባቢን ይፈትሻል። እንዲሁም የዊንዶውስ አካባቢያዊነት እና ተጠቃሚው በአሳሹ ውስጥ ባለው ሠንጠረዥ ውስጥ ከዚህ በታች የተዘረዘሩትን ዩአርኤሎች እንደጎበኘ ያረጋግጣል። ኤፒአይዎች ለዚህ ጥቅም ላይ ይውላሉ መጀመሪያ አግኝ/ቀጣይ የዩአርኤል መሸጎጫ መግቢያ እና የሶፍትዌር ማይክሮሶፍት ኢንተርኔት ኤክስፕሎረርTypedURLs የመመዝገቢያ ቁልፍ።

ቡት ጫኚው በስርዓቱ ላይ የሚከተሉት መተግበሪያዎች መኖራቸውን ይፈትሻል።

የሂደቱ ዝርዝር በጣም አስደናቂ ነው, እና እርስዎ እንደሚመለከቱት, የባንክ መተግበሪያዎችን ብቻ ሳይሆን ያካትታል. ለምሳሌ፣ "sardsvr.exe" የሚባል ሊተገበር የሚችል ፋይል ከስማርት ካርዶች (ማይክሮሶፍት ስማርት ካርድ አንባቢ) ጋር ለመስራት ሶፍትዌርን ያመለክታል። የባንክ ትሮጃን እራሱ ከስማርት ካርዶች ጋር የመሥራት ችሎታን ያካትታል.

ሩዝ. 4. የማልዌር ጭነት ሂደት አጠቃላይ ንድፍ.

ሁሉም ቼኮች በተሳካ ሁኔታ ከተጠናቀቁ, ጫኚው በአጥቂዎች የሚጠቀሙባቸውን ሁሉንም ተንኮል አዘል ፈጻሚ ሞጁሎችን የያዘውን ከርቀት አገልጋይ ልዩ ፋይል (መዝገብ) ያወርዳል. ከላይ በተጠቀሱት ቼኮች አፈፃፀም ላይ በመመስረት ከርቀት C&C አገልጋይ የወረዱት ማህደሮች ሊለያዩ እንደሚችሉ ልብ ሊባል የሚገባው ነው። ማህደሩ ተንኮል አዘል ሊሆንም ላይሆንም ይችላል። ተንኮል አዘል ካልሆነ ለተጠቃሚው የ Windows Live Toolbarን ይጭናል. ምናልባትም አጥቂዎቹ አውቶማቲክ የፋይል መመርመሪያ ስርዓቶችን እና አጠራጣሪ ፋይሎች የሚፈጸሙባቸውን ቨርቹዋል ማሽኖችን ለማታለል ተመሳሳይ ዘዴዎችን ተጠቅመዋል።

በNSIS ማውረጃ የወረደው ፋይል የተለያዩ ማልዌር ሞጁሎችን የያዘ 7z ማህደር ነው። ከታች ያለው ምስል የዚህን ማልዌር የመጫን ሂደት እና የተለያዩ ሞጁሎቹን ያሳያል።

ሩዝ. 5. ማልዌር እንዴት እንደሚሰራ አጠቃላይ እቅድ.

ምንም እንኳን የተጫኑት ሞጁሎች ለአጥቂዎች የተለያዩ ዓላማዎች የሚያገለግሉ ቢሆንም፣ በተመሳሳይ መልኩ የታሸጉ ሲሆኑ ብዙዎቹም በዲጂታል የምስክር ወረቀቶች የተፈረሙ ናቸው። አጥቂዎቹ ከዘመቻው መጀመሪያ ጀምሮ የተጠቀሙባቸውን አራት የምስክር ወረቀቶች አግኝተናል። ቅሬታችንን ተከትሎ እነዚህ የምስክር ወረቀቶች ተሰርዘዋል። ሁሉም የምስክር ወረቀቶች በሞስኮ ለተመዘገቡ ኩባንያዎች መሰጠታቸው ትኩረት የሚስብ ነው.

ሩዝ. 6. ማልዌርን ለመፈረም ያገለገለ ዲጂታል ሰርተፍኬት።

የሚከተለው ሠንጠረዥ አጥቂዎቹ በዚህ ተንኮል-አዘል ዘመቻ የተጠቀሙባቸውን ዲጂታል ሰርተፍኬቶች ይለያል።

በአጥቂዎች የሚጠቀሙባቸው ተንኮል አዘል ሞጁሎች ከሞላ ጎደል ተመሳሳይ የመጫን ሂደት አላቸው። በይለፍ ቃል የተጠበቁ 7ዚፕ ማህደሮችን በራሳቸው የሚያወጡ ናቸው።

ሩዝ. 7. የ install.cmd ባች ፋይል ቁራጭ።

የ batch .cmd ፋይል በሲስተሙ ላይ ማልዌር መጫን እና የተለያዩ አጥቂ መሳሪያዎችን የማስጀመር ሃላፊነት አለበት። አፈጻጸም የጎደሉ አስተዳደራዊ መብቶችን የሚጠይቅ ከሆነ፣ ተንኮል አዘል ኮድ እነሱን ለማግኘት ብዙ ዘዴዎችን ይጠቀማል (UACን በማለፍ)። የመጀመሪያውን ዘዴ ለመተግበር L1.exe እና cc1.exe የሚባሉ ሁለት ሊተገበሩ የሚችሉ ፋይሎች ጥቅም ላይ ይውላሉ፣ እነዚህም ዩኤሲንን በማለፍ ላይ ያተኮሩ ናቸው። አፈሰሱ የካርበርፕ ምንጭ ኮድ. ሌላው ዘዴ የ CVE-2013-3660 ተጋላጭነትን በመበዝበዝ ላይ የተመሰረተ ነው. እያንዳንዱ የተንኮል አዘል ዌር ሞጁል ልዩ መብትን ማሳደግን ሁለቱንም ባለ 32 ቢት እና ባለ 64 ቢት የብዝበዛ ስሪት ይይዛል።

ይህን ዘመቻ ስንከታተል፣ በአውራጅ የተጫኑ በርካታ ማህደሮችን ተንትነናል። የማህደሩ ይዘቶች የተለያዩ ናቸው፣ ይህ ማለት አጥቂዎች ተንኮል አዘል ሞጁሎችን ለተለያዩ ዓላማዎች ማላመድ ይችላሉ።

የተጠቃሚ ስምምነት

ከላይ እንደገለጽነው አጥቂዎች የተጠቃሚዎችን ኮምፒውተሮች ለማበላሸት ልዩ መሳሪያዎችን ይጠቀማሉ። እነዚህ መሳሪያዎች ሚሚ.exe እና xtm.exe የፋይል ስም ያላቸው ፕሮግራሞችን ያካትታሉ። አጥቂዎች የተጎጂውን ኮምፒዩተር እንዲቆጣጠሩ እና የሚከተሉትን ተግባራት በማከናወን ላይ ያተኮሩ ናቸው-ለዊንዶውስ መለያዎች የይለፍ ቃሎችን ማግኘት / ማግኘት, የ RDP አገልግሎትን ማንቃት, በ OS ውስጥ አዲስ መለያ መፍጠር.

የ mimi.exe executable የታወቀ የክፍት ምንጭ መሳሪያ የተሻሻለ ስሪት ያካትታል Mimikatz. ይህ መሳሪያ የዊንዶውስ ተጠቃሚ መለያ የይለፍ ቃሎችን እንድታገኝ ይፈቅድልሃል። አጥቂዎቹ የተጠቃሚ መስተጋብር ኃላፊነት የሆነውን ክፍል ከሚሚካትዝ አስወግደዋል። ተፈፃሚው ኮድ ተስተካክሏል ስለዚህ ሚሚካትዝ ሲጀመር በልዩ ልዩ መብት::ማረም እና sekurlsa:logonየይለፍ ቃል እንዲሰራ።

ሌላው ተፈፃሚ ፋይል xtm.exe በሲስተሙ ውስጥ ያለውን የ RDP አገልግሎት የሚያነቃቁ ልዩ ስክሪፕቶችን ያስጀምራል፣ በስርዓተ ክወናው ውስጥ አዲስ መለያ ለመፍጠር ይሞክሩ እና እንዲሁም ብዙ ተጠቃሚዎች በ RDP በኩል ከተበላሸው ኮምፒዩተር ጋር በአንድ ጊዜ እንዲገናኙ ለማድረግ የስርዓት ቅንብሮችን ይቀይሩ። በግልጽ ለማየት እንደሚቻለው እነዚህ እርምጃዎች የተበላሸውን ስርዓት ሙሉ በሙሉ ለመቆጣጠር አስፈላጊ ናቸው.

ሩዝ. 8. በስርዓቱ ላይ በ xtm.exe የተፈጸሙ ትዕዛዞች.

አጥቂዎች በስርዓቱ ላይ ልዩ ሶፍትዌሮችን ለመጫን የሚያገለግል ሌላ ኢምፓክ.exe የሚባል ፋይል ይጠቀማሉ። ይህ ሶፍትዌር LiteManager ተብሎ የሚጠራ ሲሆን በአጥቂዎች እንደ የኋላ በር ያገለግላል።

ሩዝ. 9. LiteManager በይነገጽ.

አንዴ በተጠቃሚው ስርዓት ላይ ከተጫነ፣ LiteManager አጥቂዎች ከዚያ ስርዓት ጋር በቀጥታ እንዲገናኙ እና በርቀት እንዲቆጣጠሩት ያስችላቸዋል። ይህ ሶፍትዌር ለተደበቀ ጭነት ፣ ልዩ የፋየርዎል ህጎችን ለመፍጠር እና ሞጁሉን ለማስጀመር ልዩ የትእዛዝ መስመር መለኪያዎች አሉት። ሁሉም መለኪያዎች በአጥቂዎች ጥቅም ላይ ይውላሉ.

በአጥቂዎች ጥቅም ላይ የዋለው የመጨረሻው የማልዌር ጥቅል ሞጁል የባንክ ማልዌር ፕሮግራም (ባንክ ሰራተኛ) ከፋይል ስም pn_pack.exe ነው። ተጠቃሚውን በመሰለል ላይ ያተኮረች እና ከC&C አገልጋይ ጋር የመገናኘት ሃላፊነት አለባት። የባንክ ባለሙያው የተጀመረው ህጋዊ የሆነ የ Yandex Punto ሶፍትዌርን በመጠቀም ነው። Punto ተንኮል አዘል DLL ቤተ-መጻሕፍትን ለማስጀመር በአጥቂዎች ጥቅም ላይ ይውላል (DLL የጎን ጭነት ዘዴ)። ማልዌር ራሱ የሚከተሉትን ተግባራት ማከናወን ይችላል:

• በቀጣይ ወደ የርቀት አገልጋይ እንዲተላለፉ የቁልፍ ሰሌዳ ቁልፎችን እና የቅንጥብ ሰሌዳ ይዘቶችን ይከታተሉ ፤
• በስርዓቱ ውስጥ ያሉትን ሁሉንም ስማርት ካርዶች መዘርዘር;
• ከርቀት C&C አገልጋይ ጋር መስተጋብር መፍጠር።

እነዚህን ሁሉ ተግባራት የማከናወን ሃላፊነት ያለው የማልዌር ሞጁል ኢንክሪፕት የተደረገ ዲኤልኤል ቤተ-መጽሐፍት ነው። በ Punto አፈጻጸም ወቅት ዲክሪፕት የተደረገ እና ወደ ማህደረ ትውስታ ይጫናል. ከላይ ያሉትን ተግባራት ለማከናወን, የ DLL executable ኮድ ሶስት ክሮች ይጀምራል.

አጥቂዎች የፑንቶን ሶፍትዌሮችን ለዓላማቸው መምረጣቸው የሚያስደንቅ አይደለም፡ አንዳንድ የሩስያ መድረኮች ተጠቃሚዎችን ለመጉዳት ህጋዊ የሆኑ ሶፍትዌሮችን እንደመጠቀም ባሉ ርዕሰ ጉዳዮች ላይ ዝርዝር መረጃ ይሰጣሉ።

ተንኮል አዘል ቤተ-መጽሐፍት ገመዱን ለማመስጠር የRC4 ስልተ ቀመር ይጠቀማል፣ እንዲሁም ከሲ&ሲ አገልጋይ ጋር በአውታረ መረብ ግንኙነት ወቅት። በየሁለት ደቂቃው ከአገልጋዩ ጋር ይገናኛል እና በዚህ ጊዜ ውስጥ በተበላሸው ስርዓት ላይ የተሰበሰቡትን ሁሉንም መረጃዎች እዚያ ያስተላልፋል.

ሩዝ. 10. በ bot እና በአገልጋዩ መካከል ያለው የአውታረ መረብ መስተጋብር ቁራጭ።

ቤተ መፃህፍቱ የሚቀበላቸው አንዳንድ የC&C አገልጋይ መመሪያዎች ከዚህ በታች አሉ።

ከC&C አገልጋይ መመሪያዎችን ለመቀበል ምላሽ ማልዌር በሁኔታ ኮድ ምላሽ ይሰጣል። እኛ የተተነተንናቸው ሁሉም የባንክ ሞጁሎች (የቅርብ ጊዜው ጥር 18 ቀን የተቀናበረበት ቀን ያለው) በእያንዳንዱ መልእክት ወደ C&C አገልጋይ የሚላከው “TEST_BOTNET” የሚል ሕብረቁምፊ መያዙ ትኩረት የሚስብ ነው።

መደምደሚያ

የድርጅት ተጠቃሚዎችን ለማላላት በመጀመሪያ ደረጃ ላይ ያሉ አጥቂዎች የማስገር መልእክት በመላክ አንድ የኩባንያውን ሰራተኛ ያበላሹታል። በመቀጠል ማልዌሩ አንዴ በሲስተሙ ላይ ከተጫነ በስርአቱ ላይ ያላቸውን ስልጣን በከፍተኛ ሁኔታ ለማስፋት እና ተጨማሪ ተግባራትን እንዲያከናውኑ የሚያግዙ የሶፍትዌር መሳሪያዎችን ይጠቀማሉ፡ በኮርፖሬት ኔትዎርክ ላይ ያሉ ሌሎች ኮምፒውተሮችን ማላላት እና ተጠቃሚውን እንዲሰልሉ እንዲሁም የሚያደርገውን የባንክ ግብይቶች.

ምንጭ: hab.com