Ó dheireadh na bliana seo caite, thosaigh muid ag rianú feachtas mailíseach nua chun Traí baincéireachta a dháileadh. Dhírigh na hionsaitheoirí ar chuideachtaí na Rúise a chur i mbaol, i.e. úsáideoirí corparáideacha. Bhí an feachtas mailíseach gníomhach ar feadh bliana ar a laghad agus, chomh maith leis an Traí baincéireachta, chuaigh na hionsaitheoirí i muinín uirlisí bogearraí éagsúla eile a úsáid. Ina measc seo tá lódóir speisialta pacáistithe ag baint úsáide as , agus earraí spiaireachta, atá faoi cheilt mar na bogearraí dlisteanacha aitheanta Yandex Punto. Nuair a d’éirigh leis na hionsaitheoirí comhréiteach a dhéanamh ar ríomhaire an íospartaigh, suiteálann siad cúldoras agus ansin Traí baincéireachta.
Maidir lena gcuid malware, bhain na hionsaitheoirí úsáid as roinnt deimhnithe digiteacha bailí (ag an am sin) agus modhanna speisialta chun táirgí AV a sheachbhóthar. Dhírigh an feachtas mailíseach ar líon mór banc na Rúise agus tá spéis ar leith ag baint leis mar gur bhain na hionsaitheoirí úsáid as modhanna a úsáidtear go minic in ionsaithe spriocdhírithe, i.e. ionsaithe nach bhfuil spreagtha ag calaois airgeadais amháin. Is féidir linn roinnt cosúlachtaí a thabhairt faoi deara idir an feachtas mailíseach seo agus eachtra mhór a fuair poiblíocht mhór níos luaithe. Táimid ag caint faoi ghrúpa cibearchoireachta a bhain úsáid as Trojan baincéireachta /.
Níor shuiteáil na hionsaitheoirí malware ach amháin ar na ríomhairí sin a d'úsáid an teanga Rúisis i Windows (locánú) de réir réamhshocraithe. Doiciméad Word a raibh dúshaothrú air a bhí mar phríomhveicteoir dáileacháin na Traí. , a seoladh mar cheangaltán leis an doiciméad. Léiríonn na screenshots thíos an chuma ar dhoiciméid falsa den sórt sin. Is teideal don chéad doiciméad ná “Sonrasc Uimh. 522375-FLORL-14-115.doc”, agus an dara ceann “kontrakt87.doc”, is cóip é den chonradh chun seirbhísí teileachumarsáide a sholáthar ag an oibreoir soghluaiste Megafon.
Rís. 1. Doiciméad fioscaireachta.
Rís. 2. Modhnú eile ar an doiciméad fioscaireachta.
Léiríonn na fíricí seo a leanas go raibh na hionsaitheoirí ag díriú ar ghnólachtaí na Rúise:
- dáileadh malware ag baint úsáide as doiciméid bhréige ar an ábhar sonraithe;
- tactics na n-ionsaitheoirí agus na huirlisí mailíseacha a úsáideann siad;
- naisc le feidhmchláir ghnó i roinnt modúl inrite;
- ainmneacha na bhfearann mailíseach a úsáideadh san fheachtas seo.
Ceadaíonn uirlisí bogearraí speisialta a shuiteálann ionsaitheoirí ar chóras comhréitigh dóibh cianrialú a fháil ar an gcóras agus monatóireacht a dhéanamh ar ghníomhaíocht úsáideoirí. Chun na feidhmeanna seo a chomhlíonadh, suiteálann siad cúldoras agus déanann siad iarracht freisin pasfhocal an chuntais Windows a fháil nó cuntas nua a chruthú. Téann ionsaitheoirí i muinín seirbhísí eochair-logálaí (eochairlogálaí), stealer gearrthaisce Windows, agus bogearraí speisialta chun oibriú le cártaí cliste. Rinne an grúpa seo iarracht comhréiteach a dhéanamh ar ríomhairí eile a bhí ar an líonra áitiúil céanna le ríomhaire an íospartaigh.
Chuir ár gcóras teiliméadrachta ESET LiveGrid, a ligeann dúinn staitisticí dáileadh malware a rianú go tapa, staitisticí geografacha suimiúla ar fáil dúinn maidir le dáileadh malware a úsáideann ionsaitheoirí san fheachtas luaite.
Rís. 3. Staitisticí ar dháileadh geografach na malware a úsáidtear san fheachtas mailíseach seo.
Suiteáil malware
Tar éis d'úsáideoir doiciméad mailíseach a oscailt le leas a bhaint as ar chóras leochaileach, déanfar íoslódálaí speisialta arna phacáistiú ag baint úsáide as NSIS a íoslódáil agus a fhorghníomhú ann. Ag tús a chuid oibre, seiceálann an clár timpeallacht Windows chun dífhabhtóirí a bheith ann nó chun oibriú i gcomhthéacs meaisín fíorúil. Seiceálann sé freisin logánú Windows agus cibé an bhfuil cuairt tugtha ag an úsáideoir ar na URLanna atá liostaithe thíos sa tábla sa bhrabhsálaí. Úsáidtear APInna chuige seo FindFirst/NextUrlCacheEntry agus eochair chláraithe SoftwareMicrosoftInternet ExplorerTypedURLs.
Seiceálann an bootloader láithreacht na bhfeidhmchlár seo a leanas ar an gcóras.
Tá liosta na bpróiseas fíor-suntasach agus, mar a fheiceann tú, cuimsíonn sé ní hamháin iarratais bhaincéireachta. Mar shampla, tagraíonn comhad inrite darb ainm “scardsvr.exe” do bhogearraí chun oibriú le cártaí cliste (léitheoir Cárta Cliste Microsoft). Áiríonn an Trojan baincéireachta féin an cumas oibriú le cártaí cliste.
Rís. 4. Léaráid ghinearálta den phróiseas suiteála malware.
Má dhéantar gach seiceáil go rathúil, íoslódálann an lódóir comhad speisialta (cartlann) ón gcianfhreastalaí, ina bhfuil na modúil inrite mailíseach go léir a úsáideann ionsaitheoirí. Tá sé suimiúil a thabhairt faoi deara, ag brath ar chur i gcrích na seiceálacha thuas, go bhféadfadh difríocht a bheith sna cartlanna a íoslódáiltear ón gcianfhreastalaí C&C. Seans go bhfuil nó seans nach bhfuil an chartlann mailíseach. Mura bhfuil sé mailíseach, suiteálann sé Barra Uirlisí Windows Live don úsáideoir. Is dócha gur bhain na hionsaitheoirí úsáid as cleasanna comhchosúla chun córais uathoibríocha anailíse comhad agus meaisíní fíorúla ar a ndéantar comhaid amhrasacha a mhealladh.
Is cartlann 7z é an comhad a d’íoslódáil an t-íoslódálaí NSIS ina bhfuil modúil malware éagsúla. Taispeánann an íomhá thíos próiseas suiteála iomlán an malware seo agus a modúil éagsúla.
Rís. 5. Scéim ghinearálta maidir le conas a oibríonn malware.
Cé go bhfreastalaíonn na modúil luchtaithe chun críocha éagsúla do na hionsaitheoirí, déantar iad a phacáistiú go comhionann agus síníodh go leor acu le deimhnithe digiteacha bailí. Fuaireamar ceithre dheimhniú den sórt sin a d’úsáid na hionsaitheoirí ó thús deireadh an fheachtais. I ndiaidh ár ngearáin, rinneadh na deimhnithe seo a chúlghairm. Tá sé suimiúil a thabhairt faoi deara gur eisíodh gach deimhniú chuig cuideachtaí atá cláraithe i Moscó.
Rís. 6. Deimhniú digiteach a úsáideadh chun an malware a shíniú.
Sainaithnítear sa tábla seo a leanas na deimhnithe digiteacha a d’úsáid na hionsaitheoirí san fheachtas mailíseach seo.
Tá nós imeachta suiteála comhionann ag beagnach gach modúl mailíseach a úsáideann ionsaitheoirí. Tá siad féin-eastóscadh cartlanna 7zip atá cosanta ag pasfhocal.
Rís. 7. Ilroinnt an chomhaid bhaisc install.cmd.
Tá an comhad .cmd bhaisc freagrach as malware a shuiteáil ar an gcóras agus uirlisí ionsaithe éagsúla a sheoladh. Má éilíonn an forghníomhú cearta riaracháin atá in easnamh, úsáideann an cód mailíseach roinnt modhanna chun iad a fháil (UAC a sheachbhóthar). Chun an chéad mhodh a chur i bhfeidhm, úsáidtear dhá chomhad inrite ar a dtugtar l1.exe agus cc1.exe, a dhéanann speisialtóireacht ar UAC a sheachbhóthar ag baint úsáide as an Carberp cód foinse. Tá modh eile bunaithe ar leas a bhaint as leochaileacht CVE-2013-3660. Tá leagan 32-giotán agus 64-giotán den shaothrú i ngach modúl malware a éilíonn ardú pribhléide.
Agus an feachtas seo á rianú againn, rinneamar anailís ar roinnt cartlann a d'uaslódáil an t-íoslódálaí. Bhí éagsúlacht ag baint le hábhar na gcartlann, rud a chiallaíonn go bhféadfadh ionsaitheoirí modúil mhailíseacha a oiriúnú chun críocha éagsúla.
Comhréiteach úsáideora
Mar a luadh thuas, úsáideann ionsaitheoirí uirlisí speisialta chun ríomhairí úsáideoirí a chomhréiteach. Áirítear leis na huirlisí seo cláir le hainmneacha comhaid inrite mimi.exe agus xtm.exe. Cuidíonn siad le hionsaitheoirí smacht a ghlacadh ar ríomhaire an íospartaigh agus speisialtóireacht i gcomhlíonadh na dtascanna seo a leanas: pasfhocail a fháil / a aisghabháil le haghaidh cuntais Windows, an tseirbhís RDP a chumasú, cuntas nua a chruthú san OS.
Áirítear leis an inrite mimi.exe leagan modhnaithe d'uirlis foinse oscailte a bhfuil aithne mhaith air . Ligeann an uirlis seo duit pasfhocail chuntas úsáideora Windows a fháil. Bhain na hionsaitheoirí an chuid ó Mimikatz atá freagrach as idirghníomhaíocht úsáideora. Athraíodh an cód inrite freisin ionas go rithfidh Mimikatz leis an bpribhléid::debug and sekurlsa:logonPasswords nuair a sheoltar é.
Seolann comhad inrite eile, xtm.exe, scripteanna speisialta a chuireann ar chumas an tseirbhís RDP sa chóras, déan iarracht cuntas nua a chruthú san OS, agus freisin socruithe an chórais a athrú chun ligean do roinnt úsáideoirí ceangal ag an am céanna le ríomhaire i gcontúirt trí RDP. Ar ndóigh, tá na céimeanna seo riachtanach chun smacht iomlán a fháil ar an gcóras comhréitigh.
Rís. 8. Orduithe arna fhorghníomhú ag xtm.exe ar an gcóras.
Úsáideann ionsaitheoirí comhad inrite eile ar a dtugtar impack.exe, a úsáidtear chun bogearraí speisialta a shuiteáil ar an gcóras. LiteManager a thugtar ar na bogearraí seo agus úsáideann ionsaitheoirí é mar chúldoras.
Rís. 9. Comhéadan LiteManager.
Nuair a bheidh sé suiteáilte ar chóras úsáideora, ligeann LiteManager d'ionsaitheoirí ceangal díreach leis an gcóras sin agus é a rialú go cianda. Tá paraiméadair líne ordaithe speisialta ag na bogearraí seo chun é a shuiteáil i bhfolach, rialacha speisialta balla dóiteáin a chruthú, agus a mhodúl a sheoladh. Úsáideann ionsaitheoirí na paraiméadair go léir.
Is é an modúl deireanach den phacáiste malware a úsáideann ionsaitheoirí ná clár malware baincéireachta (baincéir) leis an ainm comhaid inrite pn_pack.exe. Déanann sí spying ar an úsáideoir go speisialta agus tá sí freagrach as idirghníomhú leis an bhfreastalaí C&C. Seoltar an baincéir ag baint úsáide as bogearraí dlisteanacha Yandex Punto. Úsáideann ionsaitheoirí Punto chun leabharlanna dll mailíseacha (modh Taobh-Lódála DLL) a sheoladh. Is féidir leis an malware féin na feidhmeanna seo a leanas a chomhlíonadh:
- rianú eochairbhuillí méarchláir agus inneachar na gearrthaisce chun iad a tharchur ina dhiaidh sin chuig cianfhreastalaí;
- liostaigh gach cárta cliste atá sa chóras;
- idirghníomhú le cianfhreastalaí C&C.
Is leabharlann DLL criptithe é an modúl malware, atá freagrach as na tascanna seo go léir a chomhlíonadh. Déantar é a dhíchriptiú agus a luchtú sa chuimhne le linn Punto a chur i gcrích. Chun na tascanna thuas a dhéanamh, tosaíonn an cód inrite dll trí snáitheanna.
Ní haon ionadh é gur roghnaigh ionsaitheoirí bogearraí Punto dá gcríocha: soláthraíonn roinnt fóraim Rúise faisnéis mhionsonraithe go hoscailte ar ábhair mar úsáid a bhaint as lochtanna i mbogearraí dlisteanacha chun úsáideoirí a chomhréiteach.
Úsáideann an leabharlann mhailíseach an t-algartam RC4 chun a chuid teaghráin a chriptiú, chomh maith le linn idirghníomhaíochtaí líonra leis an bhfreastalaí C&C. Déanann sé teagmháil leis an bhfreastalaí gach dhá nóiméad agus tarchuireann sé ansin na sonraí go léir a bailíodh ar an gcóras comhréitigh le linn na tréimhse ama seo.
Rís. 10. Ilroinnt ar idirghníomhaíocht líonra idir an bot agus an freastalaí.
Seo thíos cuid de na treoracha freastalaí C&C is féidir leis an leabharlann a fháil.
Mar fhreagra ar threoracha a fháil ón bhfreastalaí C&C, freagraíonn an malware le cód stádais. Tá sé suimiúil a thabhairt faoi deara go bhfuil an teaghrán “TEST_BOTNET” i ngach modúl baincéir a ndearnamar anailís orthu (an ceann is déanaí le dáta tiomsaithe 18 Eanáir), a sheoltar i ngach teachtaireacht chuig an bhfreastalaí C&C.
Conclúid
Chun úsáideoirí corparáideacha a chomhréiteach, déanann ionsaitheoirí ag an gcéad chéim comhréiteach ar fhostaí amháin de chuid na cuideachta trí theachtaireacht fioscaireachta a sheoladh le dúshaothrú. Ansin, nuair a bheidh an malware suiteáilte ar an gcóras, úsáidfidh siad uirlisí bogearraí a chabhróidh leo a n-údarás ar an gcóras a leathnú go suntasach agus tascanna breise a dhéanamh air: ríomhairí eile a chomhréiteach ar an líonra corparáideach agus spy ar an úsáideoir, chomh maith le na hidirbhearta baincéireachta a dhéanann sé.
Foinse: will.com