Aron ma-target ang mga accountant sa usa ka cyber attack, mahimo nimong gamiton ang mga dokumento sa trabaho nga ilang gipangita online. Kini halos kung unsa ang gibuhat sa usa ka cyber nga grupo sa miaging pipila ka bulan, nag-apod-apod sa nahibal-an nga mga backdoor. и , ingon man mga encryptors ug software alang sa pagpangawat sa mga cryptocurrencies. Kadaghanan sa mga target nahimutang sa Russia. Ang pag-atake gihimo pinaagi sa pagbutang sa malisyosong advertising sa Yandex.Direct. Ang mga potensyal nga biktima gitumong sa usa ka website diin sila gihangyo sa pag-download sa usa ka malisyosong file nga nagtakuban isip template sa dokumento. Gitangtang sa Yandex ang malisyoso nga advertising pagkahuman sa among pasidaan.
Ang source code sa Buhtrap na-leak sa internet kaniadto aron bisan kinsa makagamit niini. Wala kami kasayuran bahin sa pagkaanaa sa RTM code.
Sa kini nga post isulti namon kanimo kung giunsa ang pag-apod-apod sa mga tig-atake sa malware gamit ang Yandex.Direct ug gi-host kini sa GitHub. Ang post magtapos sa usa ka teknikal nga pagtuki sa malware.
Buhtrap ug RTM balik sa negosyo
Mekanismo sa pagkaylap ug mga biktima
Ang nagkalain-laing payloads nga gihatod ngadto sa mga biktima adunay komon nga mekanismo sa pagpasanay. Ang tanan nga malisyosong mga file nga gihimo sa mga tig-atake gibutang sa duha ka lainlaing GitHub repository.
Kasagaran, ang repository adunay usa ka ma-download nga malisyoso nga file, nga kanunay nagbag-o. Tungod kay gitugotan ka sa GitHub nga tan-awon ang kasaysayan sa mga pagbag-o sa usa ka tipiganan, among makita kung unsa nga malware ang naapod-apod sa usa ka piho nga panahon. Aron makombinsir ang biktima nga i-download ang malisyoso nga file, gigamit ang website nga blanki-shabloni24[.]ru, nga gipakita sa hulagway sa ibabaw.
Ang disenyo sa site ug ang tanan nga mga ngalan sa malisyosong mga file nagsunod sa usa ka konsepto - mga porma, templates, kontrata, sample, ug uban pa. Gikonsiderar nga ang Buhtrap ug RTM software gigamit na sa mga pag-atake sa mga accountant kaniadto, among gihunahuna nga ang ang estratehiya sa bag-ong kampanya parehas ra. Ang pangutana lang kung giunsa nakaabot ang biktima sa site sa mga tig-atake.
Impeksyon
Labing menos daghang mga potensyal nga biktima nga natapos sa kini nga site nadani sa malisyosong advertising. Sa ubos usa ka pananglitan nga URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Sama sa imong makita gikan sa link, ang banner gibutang sa lehitimong accounting forum bb.f2[.]kz. Mahinungdanon nga timan-an nga ang mga bandera nagpakita sa lainlaing mga site, ang tanan adunay parehas nga id sa kampanya (blanki_rsya), ug kadaghanan nga adunay kalabotan sa mga serbisyo sa accounting o legal nga tabang. Gipakita sa URL nga ang potensyal nga biktima migamit sa hangyo nga "pag-download sa porma sa invoice," nga nagsuporta sa among hypothesis sa gipunting nga mga pag-atake. Sa ubos mao ang mga site diin nagpakita ang mga banner ug ang katugbang nga mga pangutana sa pagpangita.
- download invoice nga porma – bb.f2[.]kz
- sample nga kontrata - Ipopen[.]ru
- sample sa reklamo sa aplikasyon - 77metrov[.]ru
- porma sa kasabutan - blank-dogovor-kupli-prodazhi[.]ru
- sample nga petisyon sa korte - zen.yandex[.]ru
- sample nga reklamo - yurday[.]ru
- sample nga mga porma sa kontrata – Regforum[.]ru
- porma sa kontrata – assistentus[.]ru
- sample nga kasabutan sa apartment - napravah [.]com
- mga sample sa legal nga kontrata - avito[.]ru
Ang blanki-shabloni24[.]ru site mahimo nga gi-configure aron makapasar sa usa ka yano nga pagtan-aw sa pagtan-aw. Kasagaran, ang usa ka ad nga nagpunting sa usa ka propesyonal nga hitsura nga site nga adunay usa ka link sa GitHub dili ingon usa ka butang nga klaro nga dili maayo. Dugang pa, ang mga tig-atake nag-upload og malisyosong mga file ngadto sa repositoryo lamang sa limitado nga panahon, lagmit sa panahon sa kampanya. Kadaghanan sa panahon, ang GitHub repository adunay sulod nga walay sulod nga zip archive o blangko nga EXE file. Sa ingon, ang mga tig-atake mahimong mag-apod-apod sa advertising pinaagi sa Yandex.Direct sa mga site nga lagmit gibisitahan sa mga accountant nga mianhi agig tubag sa piho nga mga pangutana sa pagpangita.
Sunod, atong tan-awon ang lain-laing mga payloads nga gipang-apod-apod niining paagiha.
Pagtuki sa Payload
Kronolohiya sa pag-apod-apod
Ang malisyosong kampanya nagsugod sa katapusan sa Oktubre 2018 ug aktibo sa panahon sa pagsulat. Tungod kay ang tibuuk nga repository magamit sa publiko sa GitHub, nagtipon kami usa ka tukma nga timeline sa pag-apod-apod sa unom nga lainlaing mga pamilya sa malware (tan-awa ang numero sa ubos). Nagdugang kami usa ka linya nga nagpakita kung kanus-a nadiskubre ang link sa banner, nga gisukod sa telemetry sa ESET, alang sa pagtandi sa kasaysayan sa git. Sama sa imong nakita, kini adunay kalabotan nga maayo sa pagkaanaa sa payload sa GitHub. Ang kalainan sa katapusan sa Pebrero mahimong ipasabut sa kamatuoran nga wala kami bahin sa kasaysayan sa pagbag-o tungod kay ang repository gikuha gikan sa GitHub sa wala pa namon kini makuha sa hingpit.
Figure 1. Kronolohiya sa pag-apod-apod sa malware.
Mga Sertipiko sa Pagpirma sa Code
Ang kampanya migamit ug daghang mga sertipiko. Ang uban gipirmahan sa labaw pa sa usa ka pamilya sa malware, nga dugang nga nagpakita nga ang lainlaing mga sample nahisakop sa parehas nga kampanya. Bisan pa sa pagkaanaa sa pribado nga yawe, ang mga operator wala sistematikong nagpirma sa mga binary ug wala mogamit sa yawe alang sa tanan nga mga sample. Sa ulahing bahin sa Pebrero 2019, ang mga tig-atake nagsugod sa paghimo og dili balido nga mga pirma gamit ang usa ka sertipiko nga gipanag-iya sa Google diin wala silay pribadong yawe.
Ang tanan nga mga sertipiko nga nahilambigit sa kampanya ug ang mga pamilya sa malware nga ilang gipirmahan gilista sa lamesa sa ubos.
Gigamit usab namo kini nga mga sertipiko sa pagpirma sa code aron magtukod og mga link sa ubang mga pamilya sa malware. Alang sa kadaghanan nga mga sertipiko, wala kami nakit-an nga mga sampol nga wala ipanghatag pinaagi sa usa ka repositoryo sa GitHub. Bisan pa, ang sertipiko sa TOV "MARIYA" gigamit sa pagpirma sa malware nga iya sa botnet , adware ug mga minero. Dili tingali nga kini nga malware adunay kalabotan sa kini nga kampanya. Lagmit, ang sertipiko gipalit sa darknet.
Win32/Filecoder.Buhtrap
Ang unang bahin nga nakadani sa among pagtagad mao ang bag-ong nadiskobrehan nga Win32/Filecoder.Buhtrap. Kini usa ka Delphi binary file nga usahay giputos. Kasagaran kini giapod-apod kaniadtong Pebrero–Marso 2019. Naglihok kini nga angay sa usa ka ransomware nga programa - nangita kini sa mga lokal nga drive ug mga folder sa network ug gi-encrypt ang mga file nga nakit-an niini. Dili kinahanglan ang koneksyon sa Internet aron makompromiso tungod kay wala kini makontak sa server aron ipadala ang mga yawe sa pag-encrypt. Hinuon, kini nagdugang usa ka "token" sa katapusan sa mensahe sa lukat, ug nagsugyot sa paggamit sa email o Bitmessage aron makontak ang mga operator.
Aron ma-encrypt ang daghang sensitibo nga mga kapanguhaan kutob sa mahimo, ang Filecoder.Buhtrap nagpadagan sa usa ka hilo nga gilaraw aron isira ang yawe nga software nga mahimo’g adunay bukas nga mga tigdumala sa file nga adunay sulud nga hinungdanon nga kasayuran nga mahimong makabalda sa pag-encrypt. Ang mga target nga proseso mao ang panguna nga mga sistema sa pagdumala sa database (DBMS). Dugang pa, ang Filecoder.Buhtrap nagtangtang sa mga file sa log ug mga backup aron mahimong lisud ang pagbawi sa datos. Aron mahimo kini, pagdagan ang batch script sa ubos.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Ang Filecoder.Buhtrap naggamit ug usa ka lehitimong online IP Logger nga serbisyo nga gidesinyo sa pagkolekta og impormasyon mahitungod sa mga bisita sa website. Kini gituyo aron masubay ang mga biktima sa ransomware, nga mao ang responsibilidad sa command line:
mshta.exe "javascript:document.write('');"
Ang mga file alang sa pag-encrypt gipili kung dili kini motakdo sa tulo ka mga lista sa dili pag-apil. Una, ang mga file nga adunay mosunod nga mga extension dili ma-encrypt: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ug .bat. Ikaduha, ang tanan nga mga file diin ang tibuuk nga agianan adunay mga string sa direktoryo gikan sa lista sa ubos wala iapil.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ikatulo, ang pipila ka mga ngalan sa file wala usab iapil sa pag-encrypt, lakip niini ang ngalan sa file sa mensahe sa lukat. Ang listahan gipresentar sa ubos. Dayag nga, kining tanan nga mga eksepsiyon gituyo aron mapadayon ang pagdagan sa makina, apan adunay gamay nga kaarang sa dalan.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Ang laraw sa pag-encrypt sa file
Sa higayon nga mapatuman, ang malware makamugna og 512-bit RSA key pair. Ang pribado nga exponent (d) ug modulus (n) dayon gi-encrypt gamit ang hard-coded 2048-bit public key (public exponent ug modulus), zlib-packed, ug base64 nga gi-encode. Ang code nga responsable niini gipakita sa Figure 2.
Figure 2. Resulta sa Hex-Rays decompilation sa 512-bit RSA key pair generation process.
Sa ubos usa ka pananglitan sa yano nga teksto nga adunay gihimo nga pribado nga yawe, nga usa ka timaan nga gilakip sa mensahe sa lukat.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Ang publiko nga yawe sa mga tig-atake gihatag sa ubos.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Ang mga file gi-encrypt gamit ang AES-128-CBC nga adunay 256-bit nga yawe. Alang sa matag naka-encrypt nga file, usa ka bag-ong yawe ug usa ka bag-ong vector sa pag-init ang nahimo. Ang yawe nga impormasyon idugang sa katapusan sa naka-encrypt nga file. Atong tagdon ang format sa naka-encrypt nga file.
Ang na-encrypt nga mga file adunay mosunod nga ulohan:
Ang data sa source file uban ang pagdugang sa VEGA magic value gi-encrypt sa unang 0x5000 bytes. Ang tanan nga impormasyon sa decryption gilakip sa usa ka file nga adunay mosunod nga istruktura:
- Ang marka sa gidak-on sa file adunay marka nga nagpakita kung ang file mas dako sa 0x5000 bytes ang gidak-on
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, public key sa namugna nga RSA key pair))
- RSA key blob = ZlibCompress(RSAEncrypt(nahimo RSA pribado nga yawe, hard-coded RSA public key))
Win32/ClipBanker
Ang Win32/ClipBanker kay usa ka component nga giapud-apud gikan sa ulahing bahin sa Oktubre hangtod sa sayong bahin sa Disyembre 2018. Ang tahas niini mao ang pag-monitor sa mga sulud sa clipboard, nangita kini mga adres sa mga pitaka sa cryptocurrency. Sa pagtino sa target nga pitaka nga adres, gipulihan kini sa ClipBanker sa usa ka adres nga gituohan nga iya sa mga operator. Ang mga sampol nga among gisusi wala naka-box o na-obfuscate. Ang bugtong mekanismo nga gigamit sa pagtago sa pamatasan mao ang pag-encrypt sa string. Ang mga adres sa pitaka sa operator gi-encrypt gamit ang RC4. Ang target nga mga cryptocurrencies mao ang Bitcoin, Bitcoin cash, Dogecoin, Ethereum ug Ripple.
Sa panahon nga ang malware mikaylap sa mga pitaka sa Bitcoin sa mga tig-atake, usa ka gamay nga kantidad ang gipadala sa VTS, nga nagduhaduha sa kalampusan sa kampanya. Dugang pa, wala'y ebidensya nga nagsugyot nga kini nga mga transaksyon adunay kalabotan sa ClipBanker.
Win32/RTM
Ang bahin sa Win32/RTM giapod-apod sa daghang mga adlaw sa sayong bahin sa Marso 2019. Ang RTM usa ka Trojan banker nga gisulat sa Delphi, nga gitumong sa hilit nga mga sistema sa pagbabangko. Sa 2017, gipatik sa mga tigdukiduki sa ESET sa niini nga programa, ang paghulagway sa gihapon may kalabutan. Niadtong Enero 2019, gipagawas usab ang Palo Alto Networks .
Buhtrap Loader
Sulod sa pipila ka panahon, ang usa ka downloader anaa sa GitHub nga dili susama sa nangaging mga himan sa Buhtrap. Nilingi siya sa https://94.100.18[.]67/RSS.php?<some_id> aron makuha ang sunod nga yugto ug i-load kini direkta sa memorya. Mahimo natong mailhan ang duha ka kinaiya sa ikaduhang yugto nga kodigo. Sa una nga URL, direkta nga gipasa sa RSS.php ang backdoor sa Buhtrap - kini nga backdoor parehas kaayo sa usa nga magamit pagkahuman na-leak ang source code.
Makapainteres, nakita namon ang daghang mga kampanya nga adunay backdoor sa Buhtrap, ug kini giingon nga gipadagan sa lainlaing mga operator. Sa kini nga kaso, ang panguna nga kalainan mao nga ang backdoor gikarga direkta sa panumduman ug wala gigamit ang naandan nga laraw sa proseso sa pag-deploy sa DLL nga among gihisgutan. . Dugang pa, giusab sa mga operator ang RC4 nga yawe nga gigamit sa pag-encrypt sa trapiko sa network sa C&C server. Sa kadaghanan sa mga kampanya nga among nakita, ang mga operator wala magsamok sa pagbag-o niini nga yawe.
Ang ikaduha, mas komplikado nga kinaiya mao nga ang RSS.php URL gipasa ngadto sa laing loader. Nagpatuman kini og pipila ka obfuscation, sama sa pagtukod pag-usab sa dinamikong import nga lamesa. Ang katuyoan sa bootloader mao ang pagkontak sa C&C server [.]com/api/F27F84EDA4D13B15/2, ipadala ang mga troso ug hulata ang tubag. Giproseso niini ang tubag isip usa ka blob, gikarga kini sa memorya ug gipatuman kini. Ang payload nga among nakita nga nagpatuman niini nga loader mao ra ang Buhtrap backdoor, apan mahimo nga adunay uban nga mga sangkap.
Android/Spy.Banker
Makapainteres, usa ka sangkap alang sa Android ang nakit-an usab sa GitHub repository. Usa ra siya ka adlaw sa main branch - Nobyembre 1, 2018. Gawas nga gi-post sa GitHub, ang telemetry sa ESET wala’y nakit-an nga ebidensya sa kini nga malware nga gipang-apod-apod.
Ang component gi-host isip Android Application Package (APK). Nalibog pag-ayo. Ang malisyosong kinaiya gitago sa usa ka naka-encrypt nga JAR nga nahimutang sa APK. Gi-encrypt kini sa RC4 gamit kini nga yawe:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ang parehas nga yawe ug algorithm gigamit sa pag-encrypt sa mga kuwerdas. Ang JAR nahimutang sa APK_ROOT + image/files. Ang una nga 4 ka byte sa file naglangkob sa gitas-on sa naka-encrypt nga JAR, nga nagsugod dayon pagkahuman sa gitas-on nga field.
Sa pag-decrypted sa file, among nadiskobrehan nga kini mao ang Anubis - kaniadto banker alang sa Android. Ang malware adunay mga mosunod nga mga bahin:
- pagrekord sa mikropono
- pagkuha og mga screenshot
- pagkuha sa mga coordinate sa GPS
- keylogger
- pag-encrypt sa datos sa device ug panginahanglan sa lukat
- nagpadala ug spam
Makapainteres, gigamit sa bangkero ang Twitter ingon usa ka backup nga channel sa komunikasyon aron makakuha usa ka server sa C&C. Ang sample nga among gi-analisar migamit sa @JonesTrader nga account, apan sa panahon sa pag-analisar kini gibabagan na.
Ang banker naglangkob sa usa ka lista sa mga target nga aplikasyon sa Android device. Mas taas kini kaysa lista nga nakuha sa pagtuon sa Sophos. Ang listahan naglakip sa daghang mga aplikasyon sa banking, mga programa sa online shopping sama sa Amazon ug eBay, ug mga serbisyo sa cryptocurrency.
MSIL/ClipBanker.IH
Ang kataposang bahin nga gipang-apod-apod isip kabahin niini nga kampanya mao ang .NET Windows executable, nga migawas niadtong Marso 2019. Kadaghanan sa mga bersyon nga gitun-an giputos sa ConfuserEx v1.0.0. Sama sa ClipBanker, kini nga sangkap naggamit sa clipboard. Ang iyang tumong mao ang usa ka halapad nga mga cryptocurrencies, ingon man mga tanyag sa Steam. Dugang pa, gigamit niya ang serbisyo sa IP Logger aron kawaton ang pribadong WIF nga yawe sa Bitcoin.
Mga Mekanismo sa Pagpanalipod
Dugang pa sa mga benepisyo nga gihatag sa ConfuserEx sa pagpugong sa pag-debug, paglabay, ug pag-tamper, ang sangkap naglakip sa abilidad sa pag-ila sa mga produkto sa antivirus ug mga virtual machine.
Aron mapamatud-an nga kini nagdagan sa usa ka virtual nga makina, ang malware naggamit sa built-in nga Windows WMI command line (WMIC) aron mangayo sa kasayuran sa BIOS, nga mao:
wmic bios
Dayon ang programa nag-parse sa command output ug nangita sa mga keyword: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Aron mahibal-an ang mga produkto sa antivirus, ang malware nagpadala usa ka hangyo sa Windows Management Instrumentation (WMI) sa Windows Security Center gamit ManagementObjectSearcher API sama sa gipakita sa ubos. Pagkahuman sa pag-decode gikan sa base64 ang tawag ingon niini:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figure 3. Proseso sa pag-ila sa mga produkto sa antivirus.
Dugang pa, gisusi sa malware kung , usa ka himan aron maprotektahan batok sa mga pag-atake sa clipboard ug, kung nagdagan, gisuspinde ang tanan nga mga hilo sa kana nga proseso, sa ingon nagpugong sa proteksyon.
Paglahutay
Ang bersyon sa malware nga among gitun-an nagkopya mismo %APPDATA%googleupdater.exe ug nagtakda sa "tinago" nga hiyas alang sa google directory. Unya iyang giusab ang bili SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell sa Windows registry ug idugang ang dalan updater.exe. Niining paagiha, ang malware ipatuman sa matag higayon nga mag-log in ang user.
Malisyoso nga kinaiya
Sama sa ClipBanker, ang malware nag-monitor sa mga sulod sa clipboard ug nangita sa mga adres sa pitaka sa cryptocurrency, ug kung makit-an, gipulihan kini sa usa sa mga adres sa operator. Sa ubos usa ka lista sa mga target nga adres base sa kung unsa ang makit-an sa code.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Alang sa matag matang sa adres adunay katugbang nga regular nga ekspresyon. Ang STEAM_URL nga kantidad gigamit sa pag-atake sa Steam system, ingon nga makita gikan sa regular nga ekspresyon nga gigamit sa pagpasabut sa buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltration channel
Gawas pa sa pag-ilis sa mga adres sa buffer, gipunting sa malware ang pribadong WIF nga mga yawe sa Bitcoin, Bitcoin Core ug Electrum Bitcoin nga mga pitaka. Gigamit sa programa ang plogger.org isip exfiltration channel aron makuha ang WIF private key. Aron mahimo kini, ang mga operator nagdugang pribado nga yawe nga datos sa User-Agent HTTP header, ingon sa gipakita sa ubos.
Figure 4. IP Logger console nga adunay data sa output.
Wala gigamit sa mga operator ang iplogger.org aron ma-exfiltrate ang mga pitaka. Lagmit midangop sila sa laing pamaagi tungod sa 255 nga limitasyon sa karakter sa field User-Agentgipakita sa IP Logger web interface. Sa mga sampol nga among gitun-an, ang uban nga output server gitipigan sa variable sa palibot DiscordWebHook. Katingad-an, kini nga variable sa palibot wala gi-assign bisan asa sa code. Kini nagsugyot nga ang malware anaa pa sa pag-uswag ug ang variable gi-assign sa test machine sa operator.
Adunay laing timailhan nga ang programa anaa sa kalamboan. Ang binary file naglakip sa duha ka iplogger.org nga mga URL, ug ang duha gipangutana kung ang data ma-exfiltrate. Sa usa ka hangyo sa usa niini nga mga URL, ang bili sa Referer field giunhan sa "DEV /". Nakakita usab kami usa ka bersyon nga wala giputos gamit ang ConfuserEx, ang nakadawat niini nga URL ginganlag DevFeedbackUrl. Pinasukad sa ngalan sa variable sa palibot, kami nagtuo nga ang mga operator nagplano nga gamiton ang lehitimong serbisyo nga Discord ug ang sistema sa interception sa web niini aron mangawat sa mga pitaka sa cryptocurrency.
konklusyon
Kini nga kampanya usa ka pananglitan sa paggamit sa mga lehitimong serbisyo sa advertising sa mga pag-atake sa cyber. Gipunting sa laraw ang mga organisasyon sa Russia, apan dili kami matingala nga makita ang ingon nga pag-atake gamit ang mga serbisyo nga dili Ruso. Aron malikayan ang pagkompromiso, ang mga tiggamit kinahanglan nga masaligon sa reputasyon sa gigikanan sa software nga ilang gi-download.
Ang usa ka kompleto nga lista sa mga timailhan sa pagkompromiso ug MITRE ATT&CK nga mga hiyas anaa sa .
Source: www.habr.com