Da a fine di l'annu passatu, avemu cuminciatu à seguità una nova campagna maliziosa per distribuisce un Trojan bancariu. L'attaccanti anu focu annantu à cumprumette cumpagnie russe, vale à dì l'utilizatori corporativi. A campagna maliziosa hè stata attiva per almenu un annu è, in più di u troianu bancariu, l'attaccanti anu recurru à l'usu di diversi altri strumenti software. Questi includenu un caricatore speciale imballatu cù l'usu , è spyware, chì hè disguised cum'è u famosu software Yandex Punto legittimu. Una volta chì l'attaccanti anu sappiutu di cumprumette l'urdinatore di a vittima, installanu una backdoor è dopu un Trojan bancariu.
Per u so malware, l'attaccanti anu utilizatu parechji certificati digitali validi (à quellu tempu) è metudi speciali per svià i prudutti AV. A campagna maliziosa hà destinatu à un gran numaru di banche russi è hè d'interessu particulari perchè l'attaccanti anu utilizatu metudi chì sò spessu usati in attacchi mirati, vale à dì attacchi chì ùn sò micca motivati puramente da fraudulente finanziariu. Pudemu nutà alcune similitudini trà sta campagna maliziosa è un incidente maiò chì hà ricevutu una grande publicità prima. Parlemu di un gruppu cibercriminali chì hà utilizatu un troianu bancariu /.
L'attaccanti installatu malware solu in quelli computers chì anu utilizatu a lingua russa in Windows (localizazione) per difettu. U vettore di distribuzione principale di u Trojan era un documentu Word cun sfruttamentu. , chì hè statu mandatu cum'è un attache à u documentu. I screenshots sottu mostranu l'apparenza di tali documenti falsi. U primu documentu hè intitulatu "Invoice No. 522375-FLORL-14-115.doc", è u sicondu "kontrakt87.doc", hè una copia di u cuntrattu per a prestazione di servizii di telecomunicazioni da l'operatore mobile Megafon.
Risu. 1. Documentu di phishing.
Risu. 2. Una altra mudificazione di u documentu di phishing.
I seguenti fatti indicanu chì l'attaccanti eranu destinati à l'imprese russi:
- distribuzione di malware cù documenti falsi nantu à u tema specificatu;
- e tattiche di l'attaccanti è l'arnesi maliziusi chì utilizanu;
- ligami à l'applicazioni cummerciale in certi moduli eseguibili;
- nomi di duminii maliziusi chì sò stati utilizati in sta campagna.
Strumenti di software speciale chì l'attaccanti stallanu nantu à un sistema cumprumissu li permettenu di ottene u cuntrollu remotu di u sistema è di monitorà l'attività di l'utilizatori. Per eseguisce queste funzioni, installanu una backdoor è ancu pruvate d'ottene a password di u contu Windows o creanu un novu contu. L'attaccanti ricorrenu ancu à i servizii di un keylogger (keylogger), un stealer di clipboard di Windows, è un software speciale per travaglià cù smart cards. Stu gruppu hà pruvatu à cumprumette altri computers chì eranu nantu à a listessa reta lucale cum'è l'urdinatore di a vittima.
U nostru sistema di telemetria ESET LiveGrid, chì ci permette di seguità rapidamente e statistiche di distribuzione di malware, ci hà furnitu statistiche geografiche interessanti nantu à a distribuzione di malware utilizatu da l'attaccanti in a campagna citata.
Risu. 3. Statistiche nantu à a distribuzione geografica di u malware utilizatu in questa campagna maliziosa.
Installazione di malware
Dopu chì un utilizatore apre un documentu maliziusu cù un sfruttamentu in un sistema vulnerabile, un scaricatore speciale imballatu cù NSIS serà scaricatu è eseguitu quì. À u principiu di u so travagliu, u prugramma verifica l'ambiente Windows per a presenza di debuggers o per esse in u cuntestu di una macchina virtuale. Verifica ancu a localizazione di Windows è se l'utilizatore hà visitatu l'URL listati quì sottu in a tabella in u navigatore. L'API sò aduprate per questu FindFirst/NextUrlCacheEntry è a chjave di registru SoftwareMicrosoftInternet ExplorerTypedURLs.
U bootloader verifica a presenza di e seguenti applicazioni in u sistema.
A lista di prucessi hè veramente impressiunanti è, cum'è pudete vede, include micca solu applicazioni bancarie. Per esempiu, un schedariu eseguibile chjamatu "scardsvr.exe" si riferisce à u software per travaglià cù carte intelligenti (lettore Microsoft SmartCard). U troianu bancariu stessu include a capacità di travaglià cù carte intelligenti.
Risu. 4. Schema generale di u prucessu di stallazione di malware.
Se tutti i cuntrolli sò cumpletati cù successu, u caricatore scarica un schedariu speciale (archiviu) da u servitore remotu, chì cuntene tutti i moduli eseguibili maliziusi utilizati da l'attaccanti. Hè interessante di nutà chì sicondu l'esekzione di i cuntrolli sopra, l'archivi scaricati da u servitore C&C remoto pò esse diffirenti. L'archiviu pò esse maliziusu o micca. Se ùn hè micca maliziusu, stalla a Windows Live Toolbar per l'utilizatore. Hè assai prubabile, l'attaccanti anu ricursu à trucchi simili per ingannà i sistemi automatichi di analisi di fugliali è e macchine virtuali nantu à quale i fugliali sospetti sò eseguiti.
U schedariu telecaricatu da u scaricatore NSIS hè un archiviu 7z chì cuntene diversi moduli di malware. L'imaghjini sottu mostra tuttu u prucessu di stallazione di stu malware è i so diversi moduli.
Risu. 5. Schema generale di cumu travaglia malware.
Ancu se i moduli caricati servenu diversi scopi per l'attaccanti, sò imballati in modu identicu è parechji di elli sò stati firmati cù certificati digitale validi. Avemu trovu quattru tali certificati chì l'attaccanti anu utilizatu da u principiu di a campagna. Dopu a nostra denuncia, sti certificati sò stati revocati. Hè interessante nutà chì tutti i certificati sò stati emessi à e cumpagnie registrate in Mosca.
Risu. 6. Certificatu digitale chì hè stata utilizata per firmà u malware.
A tabella seguente identifica i certificati digitale chì l'attaccanti anu utilizatu in questa campagna maliziosa.
Quasi tutti i moduli maliziusi utilizati da l'attaccanti anu una prucedura d'installazione identica. Sò archivi 7zip autoestraenti chì sò protetti da password.
Risu. 7. Frammentu di u schedariu batch install.cmd.
U schedariu batch .cmd hè rispunsevuli di installà malware in u sistema è di lanciari diversi strumenti di l'attaccu. Se l'esekzione richiede diritti amministrativi mancanti, u codice maliziusu usa parechji metudi per ottene (bypassing UAC). Per implementà u primu metudu, sò usati dui fugliali eseguibili chjamati l1.exe è cc1.exe, chì sò specializati in l'annullamentu di UAC cù u codice fonte Carberp. Un altru mètudu hè basatu annantu à sfruttà a vulnerabilità CVE-2013-3660. Ogni modulu di malware chì richiede l'escalation di privilegi cuntene una versione 32-bit è 64-bit di u sfruttamentu.
Mentre seguite sta campagna, avemu analizatu parechji archivi caricati da u scaricatore. U cuntenutu di l'archivi variava, chì significheghja l'attaccanti puderanu adattà moduli maliziusi per diversi scopi.
Cumprumissu di l'utilizatori
Comu avemu citatu sopra, l'attaccanti utilizanu strumenti speciali per cumprumette l'urdinatori di l'utilizatori. Questi strumenti includenu prugrammi cù nomi di file eseguibili mimi.exe è xtm.exe. Aiutate à l'attaccanti à piglià u cuntrollu di l'urdinatore di a vittima è spicializeghjanu in a realizazione di e seguenti attività: ottene / ricuperà password per i cunti Windows, attivendu u serviziu RDP, creà un novu contu in u SO.
L'executable mimi.exe include una versione modificata di un strumentu open source ben cunnisciutu . Stu strumentu vi permette di ottene password di u contu d'utilizatore di Windows. L'attaccanti anu eliminatu a parte da Mimikatz chì hè rispunsevule per l'interazzione di l'utilizatori. U codice eseguibile hè statu ancu mudificatu in modu chì quandu hè lanciatu, Mimikatz correrà cù i cumandamenti privilege::debug è sekurlsa:logonPasswords.
Un altru schedariu eseguibile, xtm.exe, lancia scripts speciali chì attivanu u serviziu RDP in u sistema, pruvate à creà un novu contu in u SO, è ancu cambià i paràmetri di u sistema per permettà à parechji utilizatori di cunnette simultaneamente à un computer compromessa via RDP. Ovviamente, sti passi sò necessarii per ottene u cuntrollu tutale di u sistema cumprumissu.
Risu. 8. Cumandamenti eseguiti da xtm.exe in u sistema.
L'attaccanti utilizanu un altru schedariu eseguibile chjamatu impack.exe, chì hè utilizatu per installà software speciale in u sistema. Stu software hè chjamatu LiteManager è hè utilizatu da l'attaccanti cum'è backdoor.
Risu. 9. interfaccia LiteManager.
Una volta installatu nantu à u sistema di l'utilizatori, LiteManager permette à l'attaccanti di cunnette direttamente à quellu sistema è cuntrullà remotamente. Stu software hà paràmetri di linea di cummanda speciale per a so installazione oculta, creazione di reguli di firewall speciale, è lanciazione di u so modulu. Tutti i paràmetri sò usati da l'attaccanti.
L'ultimu modulu di u pacchettu di malware utilizatu da l'attaccanti hè un prugramma di malware bancariu (banchieru) cù u nome di file eseguibile pn_pack.exe. Hè spicializata in spia nantu à l'utilizatori è hè rispunsevule per interagisce cù u servitore C&C. U banchieru hè lanciatu cù u software Yandex Punto legittimu. Puntu hè utilizatu da l'attaccanti per lancià biblioteche DLL maliziusi (metudu DLL Side-Loading). U malware stessu pò fà e seguenti funzioni:
- tracciate i tasti di u teclatu è u cuntenutu di u clipboard per a so trasmissione successiva à un servitore remoto;
- lista tutte e carte intelligenti chì sò prisenti in u sistema;
- interagisce cù un servitore C&C remoto.
U modulu di malware, chì hè rispunsevule per eseguisce tutte queste attività, hè una biblioteca DLL criptata. Hè decriptatu è caricatu in memoria durante l'esekzione Punto. Per fà i travaglii sopra, u codice eseguibile DLL principia trè fili.
U fattu chì l'attaccanti anu sceltu u software Punto per i so scopi ùn hè micca una sorpresa: certi fori russi offrenu apertamente informazioni dettagliate nantu à temi cum'è l'usu di difetti in u software legittimi per cumprumette l'utilizatori.
A libreria maliciosa usa l'algoritmu RC4 per criptà e so corde, è ancu durante l'interazzione di a rete cù u servitore C&C. Cuntattate u servitore ogni dui minuti è trasmette quì tutti i dati chì sò stati cullati nantu à u sistema cumprumissu durante stu periodu di tempu.
Risu. 10. Frammentu di l'interazzione di a rete trà u bot è u servitore.
Eccu alcuni di l'istruzzioni di u servitore C&C chì a biblioteca pò riceve.
In risposta à riceve struzzioni da u servitore C&C, u malware risponde cù un codice di statutu. Hè interessante di nutà chì tutti i moduli bancari chì avemu analizatu (u più recente cù una data di compilazione di ghjennaghju 18th) cuntenenu a stringa "TEST_BOTNET", chì hè mandata in ogni messagiu à u servitore C&C.
cunchiusioni
Per cumprumette l'utilizatori corporativi, l'attaccanti in a prima tappa cumprumettenu un impiigatu di a cumpagnia mandendu un missaghju di phishing cù un sfruttamentu. In seguitu, una volta chì u malware hè stallatu nantu à u sistema, utilizanu strumenti software chì l'aiuteranu à espansione significativamente a so autorità nantu à u sistema è eseguisce compiti supplementari nantu à questu: cumprumette l'altri computer in a reta corporativa è spia l'utilizatori, è ancu. e transazzione bancaria chì eseguisce.
Source: www.habr.com