RTMサイバーグループはロシア企業から資金を盗むことを専門としている

ロシア企業から資金を盗むことを専門とするサイバーグループがいくつか知られています。 ターゲットのネットワークへのアクセスを可能にするセキュリティの抜け穴を使用した攻撃が確認されています。 アクセス権を獲得すると、攻撃者は組織のネットワーク構造を調べ、独自のツールを導入して資金を盗みます。 この傾向の典型的な例は、ハッカー グループの Buhtrap、Cobalt、Corkow です。

このレポートが焦点を当てている RTM グループは、この傾向の一部です。 これは、Delphi で書かれた特別に設計されたマルウェアを使用します。これについては、次のセクションで詳しく説明します。 ESET テレメトリ システムにおけるこれらのツールの最初の痕跡は、2015 年末に発見されました。 チームは必要に応じて、感染したシステムにさまざまな新しいモジュールをロードします。 この攻撃は、ロシアと一部の近隣諸国のリモート バンキング システムのユーザーを狙っています。

1. 目標

RTM キャンペーンは企業ユーザーを対象としています。これは、侵害されたシステムで攻撃者が検出しようとするプロセスを見れば明らかです。 焦点は、リモート バンキング システムと連携するための会計ソフトウェアです。

RTM にとって対象となるプロセスのリストは、Buhtrap グループの対応するリストに似ていますが、各グループの感染ベクトルは異なります。 Buhtrap が偽ページをより頻繁に使用した場合、RTM はドライブバイ ダウンロード攻撃 (ブラウザまたはそのコンポーネントに対する攻撃) と電子メールによるスパム送信を使用していました。 遠隔測定データによると、この脅威はロシアと近隣諸国（ウクライナ、カザフスタン、チェコ共和国、ドイツ）に向けられている。 ただし、大量配布メカニズムが使用されているため、ターゲット地域外でマルウェアが検出されても驚くべきことではありません。

マルウェア検出の総数は比較的少数です。 一方、RTM キャンペーンでは複雑なプログラムが使用されており、攻撃が高度に標的化されていることがわかります。

存在しない契約書、請求書、税務会計文書など、RTM によって使用されているいくつかのおとり文書を発見しました。 おとりの性質と、攻撃対象のソフトウェアの種類を組み合わせると、攻撃者が経理部門を通じてロシア企業のネットワークに「侵入」していることがわかります。 グループは同じ計画に従って行動した ブトラップ 2014-2015の

調査中に、いくつかの C&C サーバーと対話することができました。 コマンドの完全なリストは次のセクションで説明しますが、現時点では、クライアントはキーロガーから攻撃サーバーにデータを直接転送し、そこから追加のコマンドを受信すると言えます。

ただし、コマンド アンド コントロール サーバーに接続するだけで、必要なデータをすべて収集できる時代は終わりました。 サーバーからいくつかの関連コマンドを取得するために、現実的なログ ファイルを再作成しました。

それらの 1 つ目は、ボットに対するファイル 1c_to_kl.txt を転送するリクエストです。これは 8C: Enterprise 1 プログラムのトランスポート ファイルであり、その外観は RTM によってアクティブに監視されています。 XNUMXC は、出金に関するデータをテキスト ファイルにアップロードすることで、リモート バンキング システムと対話します。 次に、ファイルは支払い注文の自動化と実行のためにリモート バンキング システムに送信されます。

ファイルには支払いの詳細が含まれています。 攻撃者が出金に関する情報を変更した場合、送金は虚偽の詳細を使用して攻撃者のアカウントに送信されます。

コマンド アンド コントロール サーバーにこれらのファイルを要求してから約 1 か月後、新しいプラグイン 2c_XNUMX_kl.dll が侵害されたシステムにロードされているのが観察されました。 モジュール (DLL) は、会計ソフトウェアのプロセスに侵入して、ダウンロード ファイルを自動的に分析するように設計されています。 次のセクションで詳しく説明します。

興味深いことに、ロシア銀行の FinCERT は 2016 年末に、1c_to_kl.txt アップロード ファイルを使用するサイバー犯罪に関する警告を速報で発行しました。 1C の開発者もこのスキームについて知っており、すでに公式声明を発表し、注意事項を列挙しています。

他のモジュール、特に VNC (その 32 ビット バージョンと 64 ビット バージョン) もコマンド サーバーからロードされました。 これは、Dridex トロイの木馬攻撃で以前に使用された VNC モジュールに似ています。 このモジュールは、感染したコンピュータにリモートで接続し、システムの詳細な調査を行うために使用されると考えられています。 次に、攻撃者はネットワーク内を移動して、ユーザーのパスワードを抽出し、情報を収集し、マルウェアが常に存在するようにしようとします。

2. 感染経路

次の図は、キャンペーンの調査期間中に検出された感染ベクトルを示しています。 このグループはさまざまなベクトルを使用しますが、主にドライブバイ ダウンロード攻撃とスパムを使用します。 これらのツールは標的型攻撃に便利です。前者の場合、攻撃者は潜在的な被害者が訪問するサイトを選択でき、後者の場合、添付ファイル付きの電子メールを目的の会社の従業員に直接送信できます。

このマルウェアは、RIG および Sundown エクスプロイト キットやスパム メールなどの複数のチャネルを通じて配布されており、攻撃者と、これらのサービスを提供する他のサイバー攻撃者とのつながりを示しています。

2.1. RTM と Buhtrap にはどのような関係がありますか?

RTM キャンペーンは Buhtrap に非常に似ています。 自然な疑問は、それらが互いにどのように関係しているのかということです。

2016 年 XNUMX 月に、Buhtrap アップローダーを使用して配布されている RTM サンプルを観察しました。 さらに、Buhtrap と RTM の両方で使用されている XNUMX つのデジタル証明書が見つかりました。

1 つ目は DNISTER-M 社に発行されたものとされ、025 つ目の Delphi フォーム (SHA-718: 31C43BA1E87DB13B94DC61F9338A11A1C1CE) と Buhtrap DLL (SHA-2642: 454E2B889A6C41116B83D6CCDBA2F4890FXNUMXDXNUMX) にデジタル署名するために使用されました。 XNUMX)。

1 番目のものは Bit-Tredj に発行され、Buhtrap ローダー (SHA-7: 1C6B1713B923BD243FC80002DFEC9FE93B292EB74 および B71560F48488E2153D2AE51207FB0A206AC2EXNUMXB) の署名と、RTM コンポーネントのダウンロードとインストールに使用されました。

RTM オペレーターは他のマルウェア ファミリに共通の証明書を使用しますが、独自の証明書も持っています。 ESET テレメトリによると、このファイルは Kit-SD に対して発行され、一部の RTM マルウェア (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6) に署名するためにのみ使用されました。

RTM は Buhtrap と同じローダーを使用し、RTM コンポーネントは Buhtrap インフラストラクチャからロードされるため、グループには同様のネットワーク インジケーターがあります。 ただし、私たちの推定によると、少なくとも RTM は (「外部」ダウンローダーの使用だけでなく) 異なる方法で配布されているため、RTM と Buhtrap は異なるグループです。

それにもかかわらず、ハッカーグループは同様の動作原理を使用しています。 彼らは、会計ソフトウェアを使用している企業をターゲットにし、同様にシステム情報を収集し、スマート カード リーダーを検索し、被害者をスパイするための一連の悪意のあるツールを導入します。

3. 進化

このセクションでは、調査中に見つかったマルウェアのさまざまなバージョンを見ていきます。

3.1. バージョン管理

RTM は構成データをレジストリ セクションに保存します。最も興味深い部分はボットネット プレフィックスです。 私たちが調査したサンプルで確認されたすべての値のリストを以下の表に示します。

この値がマルウェアのバージョンを記録するために使用される可能性があります。 ただし、bit2 と bit3、0.1.6.4 と 0.1.6.6 などのバージョン間の違いはあまり見られませんでした。 さらに、プレフィックスの XNUMX つは最初から存在しており、以下に示すように、典型的な C&C ドメインから .bit ドメインに進化しました。

3.2. スケジュール

テレメトリーデータを使用して、サンプルの発生のグラフを作成しました。

4.テクニカル分析

このセクションでは、耐性メカニズム、RC4 アルゴリズムの独自バージョン、ネットワーク プロトコル、スパイ機能、その他の機能など、RTM バンキング トロイの木馬の主な機能について説明します。 特に、SHA-1 サンプル AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 および 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B に焦点を当てます。

4.1. インストールと保存

4.1.1.実装

RTM コアは DLL であり、ライブラリは .EXE を使用してディスクにロードされます。 実行可能ファイルは通常パッケージ化されており、DLL コードが含まれています。 起動すると、DLL が抽出され、次のコマンドを使用して実行されます。

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2.DLL

メイン DLL は常に、%PROGRAMDATA%Winlogon フォルダー内の winlogon.lnk としてディスクにロードされます。 このファイル拡張子は通常、ショートカットに関連付けられていますが、下の図に示すように、ファイルは実際には Delphi で作成された DLL で、開発者によって core.dll という名前が付けられました。

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

トロイの木馬は、起動されると、その耐性メカニズムをアクティブにします。 これは、システム内での被害者の権限に応じて、XNUMX つの異なる方法で実行できます。 管理者権限がある場合、トロイの木馬は Windows Update エントリを HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun レジストリに追加します。 Windows Update に含まれるコマンドは、ユーザーのセッションの開始時に実行されます。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

このトロイの木馬は、Windows タスク スケジューラにタスクを追加しようとします。 タスクは、上記と同じパラメータを使用して winlogon.lnk DLL を起動します。 通常のユーザー権限により、トロイの木馬は同じデータを持つ Windows Update エントリを HKCUSoftwareMicrosoftWindowsCurrentVersionRun レジストリに追加できます。

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. 修正された RC4 アルゴリズム

RC4 アルゴリズムには既知の欠点があるにもかかわらず、マルウェア作成者によって定期的に使用されています。 ただし、RTM の作成者は、おそらくウイルス アナリストの作業をより困難にするために、RTM をわずかに変更しました。 RC4 の修正バージョンは、文字列、ネットワーク データ、構成、モジュールを暗号化するために悪意のある RTM ツールで広く使用されています。

4.2.1. 違い

オリジナルの RC4 アルゴリズムには、s ブロック初期化 (別名 KSA - キー スケジューリング アルゴリズム) と擬似ランダム シーケンス生成 (PRGA - 擬似ランダム生成アルゴリズム) の XNUMX つのステージが含まれています。 最初の段階ではキーを使用して S-box を初期化し、第 XNUMX 段階では暗号化のために S-box を使用してソース テキストが処理されます。

RTM の作成者は、S-box の初期化と暗号化の間に中間ステップを追加しました。 追加キーは可変であり、暗号化および復号化するデータと同時に設定されます。 この追加ステップを実行する関数を次の図に示します。

4.2.2. 文字列の暗号化

一見したところ、メイン DLL には読み取れる行がいくつかあります。 残りは上記のアルゴリズムを使用して暗号化されます。その構造は次の図に示されています。 分析されたサンプルでは、​​文字列暗号化用の 25 を超える異なる RC4 キーが見つかりました。 XOR キーは行ごとに異なります。 行を区切る数値フィールドの値は常に 0xFFFFFFFF です。

実行の開始時に、RTM は文字列をグローバル変数に復号化します。 文字列にアクセスする必要がある場合、トロイの木馬は、ベース アドレスとオフセットに基づいて、復号化された文字列のアドレスを動的に計算します。

文字列には、マルウェアの機能に関する興味深い情報が含まれています。 いくつかの文字列の例をセクション 6.8 に示します。

4.3.ネットワーク

RTM マルウェアが C&C サーバーに接続する方法はバージョンごとに異なります。 最初の変更 (2015 年 2016 月から XNUMX 年 XNUMX 月) では、従来のドメイン名と livejournal.com の RSS フィードを使用してコマンドのリストを更新しました。

2016 年 05 月以降、テレメトリ データの .bit ドメインへの移行が見られました。 これはドメイン登録日によって確認されます。最初の RTM ドメイン fde0573d13da.bit は 2016 年 XNUMX 月 XNUMX 日に登録されました。

キャンペーンの監視中に確認したすべての URL には、/r/z.php という共通のパスがありました。 これは非常に珍しいことであり、ネットワーク フロー内の RTM リクエストを識別するのに役立ちます。

4.3.1. コマンドと制御用のチャネル

従来の例では、このチャネルを使用してコマンド アンド コントロール サーバーのリストを更新していました。 ホスティングは livejournal.com にありますが、レポート執筆時点では URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss のままでした。

Livejournal は、ブログ プラットフォームを提供するロシア系アメリカ人の会社です。 RTM オペレーターは、コード化されたコマンドを含む記事を投稿する LJ ブログを作成します (スクリーンショットを参照)。

コマンドラインと制御ラインは、修正された RC4 アルゴリズム (セクション 4.2) を使用してエンコードされます。 チャネルの現在のバージョン (2016 年 XNUMX 月) には、次のコマンド アンド コントロール サーバーのアドレスが含まれています。

• hxxp://cainmoon(.)net/r/z.php
• hxxp://rtm(.)dev/0-3/z.php
• hxxp://vpntap(.)top/r/z.php

4.3.2. .bit ドメイン

最新の RTM サンプルでは、​​作成者は .bit TLD トップレベル ドメインを使用して C&C ドメインに接続します。 ICANN (Domain Name and Internet Corporation) のトップレベル ドメインのリストには含まれていません。 代わりに、ビットコイン技術の上に構築されたネームコインシステムを使用します。 マルウェア作成者が自分のドメインに .bit TLD を使用することはあまりありませんが、そのような使用例は Necurs ボットネットのバージョンで以前に観察されています。

ビットコインとは異なり、分散型ネームコイン データベースのユーザーはデータを保存できます。 この機能の主な用途は、.bit トップレベル ドメインです。 分散データベースに保存されるドメインを登録できます。 データベース内の対応するエントリには、ドメインによって解決された IP アドレスが含まれています。 登録者のみが .bit ドメインの解像度を変更できるため、この TLD は「検閲耐性」があります。 これは、このタイプの TLD を使用して悪意のあるドメインを阻止するのがはるかに困難であることを意味します。

RTM トロイの木馬には、分散された Namecoin データベースを読み取るために必要なソフトウェアが組み込まれていません。 dns.dot-bit.org や OpenNic サーバーなどの中央 DNS サーバーを使用して、.bit ドメインを解決します。 そのため、DNSサーバーと同等の耐久性を持っています。 一部のチーム ドメインが、ブログ投稿で言及された後、検出されなくなっていることが確認されました。

ハッカーにとっての .bit TLD のもう 0,01 つの利点はコストです。 ドメインを登録するために、事業者は 0,00185 NK のみを支払う必要があります。これは、5 ドルに相当します (2016 年 10 月 XNUMX 日現在)。 ちなみに、domain.com の料金は少なくとも XNUMX ドルです。

4.3.3. プロトコル

コマンド アンド コントロール サーバーと通信するために、RTM はカスタム プロトコルを使用してフォーマットされたデータを含む HTTP POST リクエストを使用します。 パス値は常に /r/z.php です。 Mozilla/5.0 ユーザー エージェント (互換性、MSIE 9.0、Windows NT 6.1、Trident/5.0)。 サーバーへのリクエストでは、データは次のようにフォーマットされます。オフセット値はバイト単位で表されます。

バイト 0 ～ 6 はエンコードされません。 6 から始まるバイトは、修正された RC4 アルゴリズムを使用してエンコードされます。 C&C 応答パケットの構造はより単純です。 バイトは 4 からパケット サイズまでエンコードされます。

可能なアクションバイト値のリストを以下の表に示します。

マルウェアは常に、復号化されたデータの CRC32 を計算し、パケット内に存在するものと比較します。 それらが異なる場合、トロイの木馬はパケットをドロップします。
追加データには、PE ファイル、ファイル システム内で検索されるファイル、新しいコマンド URL など、さまざまなオブジェクトが含まれる場合があります。

4.3.4. パネル

RTM が C&C サーバー上のパネルを使用していることに気付きました。 以下のスクリーンショット:

4.4. 特徴的な兆候

RTM は典型的なバンキング型トロイの木馬です。 オペレーターが被害者のシステムに関する情報を必要とするのは当然のことです。 一方では、ボットは OS に関する一般的な情報を収集します。 一方で、侵害されたシステムにロシアのリモート バンキング システムに関連する属性が含まれているかどうかを調べます。

4.4.1. 一般情報

再起動後にマルウェアがインストールまたは起動されると、次のような一般情報を含むレポートがコマンド アンド コントロール サーバーに送信されます。

• タイムゾーン;
• デフォルトのシステム言語。
• 許可されたユーザーの資格情報。
• プロセスの完全性レベル。
• ユーザー名;
• コンピュータネーム;
• OSのバージョン。
• 追加インストールされたモジュール。
• インストールされたウイルス対策プログラム。
• スマートカードリーダーのリスト。

4.4.2 リモートバンキングシステム

典型的なトロイの木馬のターゲットはリモート バンキング システムであり、RTM も例外ではありません。 プログラムのモジュールの XNUMX つは TBdo と呼ばれ、ディスクのスキャンや履歴の閲覧などのさまざまなタスクを実行します。

このトロイの木馬は、ディスクをスキャンすることで、マシンにバンキング ソフトウェアがインストールされているかどうかを確認します。 対象プログラムの完全なリストは以下の表にあります。 対象のファイルを検出すると、プログラムは情報をコマンド サーバーに送信します。 次のアクションは、コマンド センター (C&C) アルゴリズムによって指定されたロジックによって異なります。

RTM は、ブラウザの履歴や開いているタブの URL パターンも検索します。 さらに、プログラムは FindNextUrlCacheEntryA 関数と FindFirstUrlCacheEntryA 関数の使用を検査し、各エントリをチェックして URL が次のいずれかのパターンと一致するかどうかを確認します。

開いているタブを検出したこのトロイの木馬は、Dynamic Data Exchange (DDE) メカニズムを通じて Internet Explorer または Firefox にアクセスし、タブがパターンと一致するかどうかを確認します。

閲覧履歴と開いているタブのチェックは、チェック間に 1 秒の休憩を挟んで WHILE ループ (前提条件のあるループ) で実行されます。 リアルタイムで監視されるその他のデータについては、セクション 4.5 で説明します。

パターンが見つかった場合、プログラムは、次の表の文字列のリストを使用して、これをコマンド サーバーに報告します。

4.5 モニタリング

トロイの木馬が実行されている間、感染したシステムの特徴的な機能に関する情報 (銀行ソフトウェアの存在に関する情報を含む) がコマンド アンド コントロール サーバーに送信されます。 フィンガープリンティングは、最初の OS スキャンの直後に RTM が監視システムを初めて実行するときに発生します。

4.5.1. リモートバンキング

TBdo モジュールは、銀行関連のプロセスの監視も担当します。 動的データ交換を使用して、初期スキャン中に Firefox と Internet Explorer のタブをチェックします。 別の TShell モジュールは、コマンド ウィンドウ (Internet Explorer または File Explorer) を監視するために使用されます。

このモジュールは、COM インターフェイス IShellWindows、iWebBrowser、DWebBrowserEvents2、および IConnectionPointContainer を使用してウィンドウを監視します。 ユーザーが新しい Web ページに移動すると、マルウェアはこれを認識します。 次に、ページの URL を上記のパターンと比較します。 一致を検出すると、トロイの木馬は 5 秒間隔で XNUMX 枚の連続したスクリーンショットを取得し、C&S コマンド サーバーに送信します。 このプログラムは、銀行ソフトウェアに関連するいくつかのウィンドウ名もチェックします。完全なリストは以下のとおりです。

4.5.2. スマートカード

RTM を使用すると、感染したコンピュータに接続されているスマート カード リーダーを監視できます。 これらのデバイスは、一部の国で支払い注文を調整するために使用されます。 このタイプのデバイスがコンピュータに接続されている場合、そのコンピュータが銀行取引に使用されていることをトロイの木馬に示す可能性があります。

他のバンキング型トロイの木馬とは異なり、RTM はそのようなスマート カードと対話できません。 おそらく、この機能は、まだ見ていない追加モジュールに含まれている可能性があります。

4.5.3. キーロガー

感染した PC を監視する重要な部分は、キーストロークをキャプチャすることです。 RTM開発者は通常のキーだけでなく仮想キーボードやクリップボードも監視しているため、情報を見逃すことはないようです。

これを行うには、SetWindowsHookExA 関数を使用します。 攻撃者は、押されたキー、または仮想キーボードに対応するキーを、プログラムの名前と日付とともに記録します。 その後、バッファは C&C コマンド サーバーに送信されます。

SetClipboardViewer 関数は、クリップボードをインターセプトするために使用されます。 データがテキストの場合、ハッカーはクリップボードの内容をログに記録します。 バッファがサーバーに送信される前に、名前と日付も記録されます。

4.5.4. スクリーンショット

もう XNUMX つの RTM 機能はスクリーンショットの傍受です。 この機能は、ウィンドウ監視モジュールが対象のサイトまたは銀行ソフトウェアを検出したときに適用されます。 スクリーンショットはグラフィック イメージのライブラリを使用して取得され、コマンド サーバーに転送されます。

4.6. アンインストール

C&C サーバーはマルウェアの実行を停止し、コンピュータをクリーンアップします。 このコマンドを使用すると、RTM の実行中に作成されたファイルとレジストリ エントリをクリアできます。 その後、DLL を使用してマルウェアと winlogon ファイルが削除され、その後コマンドによってコンピューターがシャットダウンされます。 下の図に示すように、DLL は開発者によって Erase.dll を使用して削除されます。

サーバーは、トロイの木馬に破壊的なアンインストール ロック コマンドを送信する可能性があります。 この場合、管理者権限がある場合、RTM はハード ドライブ上の MBR ブート セクターを削除します。 これが失敗すると、トロイの木馬は MBR ブート セクタをランダム セクタに移動しようとします。その場合、コンピュータはシャットダウン後に OS を起動できなくなります。 これにより、OS が完全に再インストールされる可能性があり、証拠の隠滅を意味します。

管理者権限がない場合、マルウェアは基盤となる RTM DLL にエンコードされた .EXE を書き込みます。 実行可能ファイルは、コンピューターをシャットダウンするために必要なコードを実行し、モジュールを HKCUCurrentVersionRun レジストリ キーに登録します。 ユーザーがセッションを開始するたびに、コンピュータはすぐにシャットダウンされます。

4.7. 設定ファイル

デフォルトでは、RTM には構成ファイルがほとんどありませんが、コマンド アンド コントロール サーバーは、レジストリに保存され、プログラムで使用される構成値を送信できます。 構成キーのリストを以下の表に示します。

構成は Software[Pseudo-random string] レジストリ キーに保存されます。 各値は、前の表に示されている行の 4 つに対応します。 値とデータは、RTM の RCXNUMX アルゴリズムを使用してエンコードされます。

データはネットワークや文字列と同じ構造を持っています。 エンコードされたデータの先頭に XNUMX バイトの XOR キーが追加されます。 構成値の場合、XOR キーは異なり、値のサイズによって異なります。 次のように計算できます。

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)

4.8.その他の機能

次に、RTM がサポートするその他の機能を見てみましょう。

4.8.1. 追加モジュール

このトロイの木馬には、DLL ファイルである追加モジュールが含まれています。 C&Cコマンドサーバーから送信されたモジュールは外部プログラムとして実行したり、RAMに反映したり、新しいスレッドで起動したりすることができます。 ストレージの場合、モジュールは .dtt ファイルに保存され、ネットワーク通信に使用されるのと同じキーを使用して RC4 アルゴリズムを使用してエンコードされます。

これまでのところ、VNC モジュール (8966319882494077C21F66A8354E2CBCA0370464)、ブラウザ データ抽出モジュール (03DE8622BE6B2F75A364A275995C3411626C4D9F)、および 1c_2_kl モジュール (B1EE562E1F69E) のインストールが確認されています。 FC6FBA58 B88753BE7D0B3E4CFAB）。

VNC モジュールをロードするために、C&C サーバーはポート 44443 上の特定の IP アドレスで VNC サーバーへの接続を要求するコマンドを発行します。ブラウザ データ取得プラグインは、IE 閲覧履歴を読み取ることができる TBrowserDataCollector を実行します。 次に、訪問した URL の完全なリストを C&C コマンド サーバーに送信します。

最後に検出されたモジュールは 1c_2_kl と呼ばれます。 1C Enterprise ソフトウェア パッケージと対話できます。 このモジュールには 32 つの部分が含まれています。主要部分 - DLL と 64 つのエージェント (1 ビットおよび 1 ビット)。これらは各プロセスに挿入され、WH_CBT へのバインディングを登録します。 1C プロセスに導入されたこのモジュールは、CreateFile 関数と WriteFile 関数をバインドします。 CreateFile バインド関数が呼び出されるたびに、モジュールはファイル パス XNUMXc_to_kl.txt をメモリに保存します。 WriteFile 呼び出しをインターセプトした後、WriteFile 関数を呼び出し、ファイル パス XNUMXc_to_kl.txt をメイン DLL モジュールに送信し、細工された Windows WM_COPYDATA メッセージを渡します。

メイン DLL モジュールはファイルを開いて解析し、支払い注文を決定します。 ファイルに含まれる金額と取引番号を認識します。 この情報はコマンド サーバーに送信されます。 このモジュールにはデバッグ メッセージが含まれており、1c_to_kl.txt を自動的に変更できないため、現在開発中であると考えられます。

4.8.2. 権限昇格

RTM は、誤ったエラー メッセージを表示して権限の昇格を試みる場合があります。 このマルウェアは、レジストリ チェックをシミュレートするか (下の図を参照)、実際のレジストリ エディタのアイコンを使用します。 wait – what のスペルミスに注意してください。 スキャンの数秒後、プログラムは誤ったエラー メッセージを表示します。

文法上の誤りがあるにもかかわらず、偽のメッセージは平均的なユーザーを簡単に欺いてしまいます。 ユーザーが XNUMX つのリンクのいずれかをクリックすると、RTM はシステム内の権限を昇格しようとします。

XNUMX つの回復オプションのいずれかを選択すると、トロイの木馬は管理者権限で ShellExecute 関数の runas オプションを使用して DLL を起動します。 ユーザーには、昇格を求める実際の Windows プロンプト (下の画像を参照) が表示されます。 ユーザーが必要な権限を与えると、トロイの木馬は管理者権限で実行されます。

システムにインストールされているデフォルトの言語に応じて、トロイの木馬はロシア語または英語でエラー メッセージを表示します。

4.8.3. 証明書

RTM は Windows ストアに証明書を追加し、csrss.exe ダイアログ ボックスで [はい] ボタンを自動的にクリックすることで追加の信頼性を確認できます。 この動作は新しいものではありません。たとえば、バンキング型トロイの木馬 Retefe も、新しい証明書のインストールを独自に確認します。

4.8.4. 逆接続

RTM の作成者は、Backconnect TCP トンネルも作成しました。 この機能はまだ使用されていませんが、感染した PC をリモートで監視するように設計されています。

4.8.5. ホストファイル管理

C&C サーバーは、トロイの木馬にコマンドを送信して、Windows ホスト ファイルを変更する可能性があります。 ホスト ファイルは、カスタム DNS 解決を作成するために使用されます。

4.8.6. ファイルを検索して送信する

サーバーは、感染したシステム上のファイルの検索とダウンロードを要求する場合があります。 たとえば、調査中に、ファイル 1c_to_kl.txt に対するリクエストを受け取りました。 前述したように、このファイルは 1C: Enterprise 8 会計システムによって生成されます。

4.8.7.アップデート

最後に、RTM 作成者は、現在のバージョンを置き換える新しい DLL を送信することでソフトウェアを更新できます。

5。 結論

RTMの調査によると、ロシアの銀行システムは依然としてサイバー攻撃者を惹きつけている。 Buhtrap、Corkow、Carbanak などのグループは、ロシアの金融機関とその顧客から資金を盗むことに成功しています。 RTM は、この業界では新しいプレーヤーです。

ESET のテレメトリによると、悪意のある RTM ツールは少なくとも 2015 年後半から使用されています。 このプログラムには、スマート カードの読み取り、キーストロークの傍受、銀行取引の監視、1C: Enterprise 8 トランスポート ファイルの検索など、あらゆる範囲のスパイ機能が備わっています。

分散化された無検閲の .bit トップレベル ドメインの使用により、復元力の高いインフラストラクチャが保証されます。

出所： habr.com