攻撃者は複雑なマルウェアを使用してロシアの企業を攻撃

昨年末以来、私たちはバンキング型トロイの木馬を配布する新たな悪意のあるキャンペーンの追跡を開始しました。 攻撃者は、ロシア企業、つまり企業ユーザーを侵害することに焦点を当てました。 この悪意のあるキャンペーンは少なくとも XNUMX 年間活動しており、攻撃者はバンキング型トロイの木馬に加えて、他のさまざまなソフトウェア ツールを使用していました。 これらには、次を使用してパッケージ化された特別なローダーが含まれます。 NSIS、およびよく知られている正規の Yandex Punto ソフトウェアを装ったスパイウェアです。 攻撃者は被害者のコンピュータへの侵入に成功すると、バックドアをインストールし、次にバンキング型トロイの木馬をインストールします。

マルウェアの場合、攻撃者はいくつかの有効な (当時の) デジタル証明書と特別な方法を使用して AV 製品をバイパスしました。 この悪意のあるキャンペーンは多数のロシアの銀行を標的にしており、攻撃者が標的型攻撃、つまり金融詐欺のみを目的とした攻撃ではよく使用される手法を使用していたため、特に興味深いものとなっています。 この悪意のあるキャンペーンと、以前に大きな反響を呼んだ大規模な事件との間には、いくつかの類似点があることがわかります。 バンキング型トロイの木馬を使用したサイバー犯罪グループについて話しています。 アヌナク/カルババク.

攻撃者は、デフォルトで Windows でロシア語 (ローカリゼーション) を使用するコンピューターにのみマルウェアをインストールしました。 このトロイの木馬の主な配布ベクトルは、エクスプロイトを含む Word ドキュメントでした。 CVE-2012-0158、文書の添付ファイルとして送信されました。 以下のスクリーンショットは、そのような偽の文書の外観を示しています。 最初の文書のタイトルは「Invoice No. 522375-FLORL-14-115.doc」、87 つ目の文書は「kontraktXNUMX.doc」で、携帯電話会社 Megafon による電気通信サービスの提供に関する契約書のコピーです。

米。 1. フィッシング文書。

米。 2. フィッシング文書の別の改変。

次の事実は、攻撃者がロシアの企業を標的としていたことを示しています。

• 指定されたトピックに関する偽の文書を使用したマルウェアの配布。
• 攻撃者の戦術と彼らが使用する悪意のあるツール。
• 一部の実行可能モジュール内のビジネス アプリケーションへのリンク。
• このキャンペーンで使用された悪意のあるドメインの名前。

攻撃者が侵害されたシステムに特別なソフトウェア ツールをインストールすると、システムをリモートで制御し、ユーザーのアクティビティを監視できるようになります。 これらの機能を実行するために、バックドアをインストールし、Windows アカウントのパスワードを取得するか、新しいアカウントを作成しようとします。 攻撃者は、キーロガー (キーロガー)、Windows クリップボード スティーラー、スマート カードを操作するための特別なソフトウェアのサービスも利用します。 このグループは、被害者のコンピュータと同じローカル ネットワーク上にある他のコンピュータを侵害しようとしました。

マルウェアの配布統計を迅速に追跡できる ESET LiveGrid テレメトリ システムにより、前述のキャンペーンで攻撃者が使用したマルウェアの配布に関する興味深い地理的統計が得られました。

米。 3. この悪意のあるキャンペーンで使用されたマルウェアの地理的分布に関する統計。

マルウェアのインストール

ユーザーが脆弱なシステム上でエクスプロイトを含む悪意のあるドキュメントを開くと、NSIS を使用してパッケージ化された特別なダウンローダーがダウンロードされ、そこで実行されます。 プログラムは作業の開始時に、Windows 環境にデバッガが存在するかどうか、または仮想マシンのコンテキストで実行されているかどうかをチェックします。 また、Windows のローカリゼーションと、ユーザーがブラウザーで以下の表にリストされている URL にアクセスしたかどうかもチェックします。 これには API が使用されます まず見つけてください/NextUrlCacheEntry SoftwareMicrosoftInternet ExplorerTypedURLs レジストリ キー。

ブートローダーは、システム上に次のアプリケーションが存在するかどうかを確認します。

プロセスのリストは実に印象的で、ご覧のとおり、銀行アプリケーションだけが含まれているわけではありません。 たとえば、「scardsvr.exe」という名前の実行可能ファイルは、スマート カード (Microsoft SmartCard リーダー) を操作するためのソフトウェアを指します。 バンキング型トロイの木馬自体には、スマート カードを操作する機能が含まれています。

米。 4. マルウェアのインストール プロセスの一般的な図。

すべてのチェックが正常に完了すると、ローダーはリモート サーバーから特別なファイル (アーカイブ) をダウンロードします。このファイルには、攻撃者が使用するすべての悪意のある実行可能モジュールが含まれています。 興味深いことに、上記のチェックの実行に応じて、リモート C&C サーバーからダウンロードされるアーカイブが異なる可能性があることに注意してください。 アーカイブには悪意がある場合とそうでない場合があります。 悪意がない場合は、ユーザーに Windows Live ツールバーをインストールします。 おそらく、攻撃者は同様のトリックを使用して、自動ファイル分析システムや不審なファイルが実行される仮想マシンを欺いたと考えられます。

NSIS ダウンローダーによってダウンロードされるファイルは、さまざまなマルウェア モジュールを含む 7z アーカイブです。 下の画像は、このマルウェアとそのさまざまなモジュールのインストール プロセス全体を示しています。

米。 5. マルウェアがどのように機能するかの一般的なスキーム。

ロードされたモジュールは攻撃者にとって異なる目的を果たしますが、それらは同一にパッケージ化されており、その多くは有効なデジタル証明書で署名されています。 攻撃者がキャンペーンの最初から使用していたそのような証明書が XNUMX つ見つかりました。 私たちの苦情を受けて、これらの証明書は取り消されました。 興味深いのは、すべての証明書がモスクワに登録されている企業に発行されたことです。

米。 6. マルウェアの署名に使用されたデジタル証明書。

次の表は、攻撃者がこの悪意のあるキャンペーンで使用したデジタル証明書を示しています。

攻撃者が使用するほとんどすべての悪意のあるモジュールのインストール手順は同じです。 これらは、パスワードで保護された自己解凍型 7zip アーカイブです。

米。 7. install.cmd バッチ ファイルの断片。

バッチ .cmd ファイルは、システムにマルウェアをインストールし、さまざまな攻撃者ツールを起動します。 実行に不足している管理者権限が必要な場合、悪意のあるコードはいくつかの方法を使用して管理者権限を取得します (UAC をバイパスします)。 最初の方法を実装するには、l1.exe と cc1.exe という XNUMX つの実行可能ファイルが使用されます。これらのファイルは、 漏れた Carberp のソースコード。 もう 2013 つの方法は、CVE-3660-32 脆弱性の悪用に基づいています。 権限昇格を必要とする各マルウェア モジュールには、64 ビット バージョンと XNUMX ビット バージョンの両方のエクスプロイトが含まれています。

このキャンペーンを追跡しながら、ダウンローダーによってアップロードされたいくつかのアーカイブを分析しました。 アーカイブの内容は多様であり、攻撃者が悪意のあるモジュールをさまざまな目的に適応させる可能性があることを意味します。

ユーザーの侵害

上で述べたように、攻撃者は特別なツールを使用してユーザーのコンピュータを侵害します。 これらのツールには、実行可能ファイル名 mimi.exe および xtm.exe のプログラムが含まれています。 これらは、攻撃者が被害者のコンピュータを制御し、Windows アカウントのパスワードの取得/回復、RDP サービスの有効化、OS での新しいアカウントの作成といったタスクの実行に特化するのに役立ちます。

mimi.exe 実行可能ファイルには、有名なオープンソース ツールの修正バージョンが含まれています ミミカッツ。 このツールを使用すると、Windows ユーザー アカウントのパスワードを取得できます。 攻撃者は、ユーザー操作を担当する部分を Mimikatz から削除しました。 実行可能コードも変更され、Mimikatz の起動時に、privilege::debug および sekurlsa:logonPasswords コマンドを使用して実行されるようになりました。

別の実行可能ファイルである xtm.exe は、システムで RDP サービスを有効にし、OS で新しいアカウントの作成を試みる特別なスクリプトを起動します。また、複数のユーザーが侵害されたコンピュータに RDP 経由で同時に接続できるようにシステム設定を変更します。 明らかに、これらの手順は、侵害されたシステムを完全に制御するために必要です。

米。 8. システム上の xtm.exe によって実行されるコマンド。

攻撃者は、システムに特別なソフトウェアをインストールするために使用される、impack.exe と呼ばれる別の実行可能ファイルを使用します。 このソフトウェアは LiteManager と呼ばれ、攻撃者によってバックドアとして使用されます。

米。 9. LiteManager インターフェイス。

LiteManager をユーザーのシステムにインストールすると、攻撃者がそのシステムに直接接続し、リモートで制御できるようになります。 このソフトウェアには、隠しインストール、特別なファイアウォール ルールの作成、およびモジュールの起動のための特別なコマンド ライン パラメータがあります。 すべてのパラメータは攻撃者によって使用されます。

攻撃者が使用するマルウェア パッケージの最後のモジュールは、実行可能ファイル名が pn_pack.exe の銀行マルウェア プログラム (バンカー) です。 彼女はユーザーのスパイを専門とし、C&C サーバーとの対話を担当しています。 バンカーは、正規の Yandex Punto ソフトウェアを使用して起動されます。 Punto は、攻撃者が悪意のある DLL ライブラリを起動するために使用されます (DLL サイドローディング方式)。 マルウェア自体は次の機能を実行できます。

• キーボードのキーストロークとクリップボードの内容を追跡し、その後リモートサーバーに送信します。
• システム内に存在するすべてのスマート カードをリストします。
• リモート C&C サーバーと対話します。

これらすべてのタスクを実行するマルウェア モジュールは、暗号化された DLL ライブラリです。 Punto の実行中に復号化されてメモリにロードされます。 上記のタスクを実行するために、DLL 実行可能コードは XNUMX つのスレッドを開始します。

攻撃者が目的のために Punto ソフトウェアを選択したという事実は驚くべきことではありません。一部のロシアのフォーラムでは、正規のソフトウェアの欠陥を利用してユーザーを侵害することなどのトピックに関する詳細な情報を公然と提供しています。

悪意のあるライブラリは、C&C サーバーとのネットワーク通信中に RC4 アルゴリズムを使用して文字列を暗号化します。 XNUMX 分ごとにサーバーに接続し、この期間中に侵害されたシステムで収集されたすべてのデータをそこに送信します。

米。 10. ボットとサーバー間のネットワーク対話の断片。

以下は、ライブラリが受信できる C&C サーバー命令の一部です。

C&C サーバーからの指示の受信に応答して、マルウェアはステータス コードで応答します。 興味深いのは、分析したすべてのバンカー モジュール (コンパイル日が 18 月 XNUMX 日の最新モジュール) に文字列「TEST_BOTNET」が含まれており、これが各メッセージで C&C サーバーに送信されることです。

まとめ

企業ユーザーを侵害するために、攻撃者は最初の段階で、エクスプロイトを含むフィッシング メッセージを送信することにより、企業の XNUMX 人の従業員を侵害します。 次に、マルウェアがシステムにインストールされると、システム上での権限を大幅に拡張し、企業ネットワーク上の他のコンピュータを侵害してユーザーをスパイするなどの追加タスクを実行するのに役立つソフトウェア ツールを使用します。彼が実行する銀行取引。

出所： habr.com