ααΎααααΈαααααααααα
ααααααααααααα»αααΆαααΆααααα αΆαααΆαα’ααΈαααΊαα·α α’αααα’αΆα
ααααΎα―αααΆαααΆαααΆαααααα½ααααααααααααΆαα’ααΈαααΊαα·αα αααβααΆβα’αααΈβαααβαααα»αβα’ααΈαααΊαα·αβαα½αβααΆαβαα·αβαααα»αβααααΎβαααα»αβαααβαααβααα»ααααΆαβααβαααααβααβααα αααβα
ααβα
αΆαβααααααΆαβαααβααβααααΆααα
ααΌαααααααααα Buhtrap ααααΌαααΆαααα ααααΆαααΎα’ααΈαααΊαα·αααΆαααααααααα ααΌα ααααα’αααααΆααα’αΆα ααααΎααΆααΆαα ααΎααα·αααΆαααααααΆαααΆααααααΉαααΆαααΆααααααΌα RTM ααα
αα αααα»αααΆααααααΆαααα ααΎαααΉαααααΆααα’αααααΈαααααααα’αααααΆααααα αΆαα ααα αΆαααααααααααααΎ Yandex.Direct α αΎααααα ααααΆαα ααΎ GitHub α ααΆααααα ααααΉααααα ααααΆαα½αααΉαααΆααα·ααΆααα αα ααααααααααααα
Buhtrap αα·α RTM αααααααααααααΈαα·αα αΎαα
ααααααΆαααααΆαααΈαααΆαααΆα αα·αααααααααα
ααααα»αααααααααααααααΌααα αααααααααααΆαααααααΆαααααααααααΆαααΌαα α ααΆααα―αααΆαααααΆααΆαααααααααΎααααα’αααααΆααααα αΆαααααΌαααΆαααΆαααααα»αααααΆαα GitHub ααΈααααααααααΆα
ααΆααααααΆ ααααΆαααααα»αα―αααΆαααααΆααΆααααα’αΆα ααΆαααααΆααα½α αααααααΆααααααΌαααΆααΉαααΆααα αααααΆα GitHub α’αα»ααααΆαα±ααα’αααααΎααααααααα·ααααΆαααααΆααααααΌααα αααααααααα»α ααΎαα’αΆα ααΉαααΆαααααα’αααΈααααααααΌαααΆαα ααα αΆααααα»αα’αα‘α»ααααααΆααααΆαααα½αα ααΎααααΈαααα α»ααααα αΌααααααααααα±ααααΆαααα―αααΆαααααΆααΆα ααα ααααα blanki-shabloni24[.]ru ααααααα αΆααααα»αααΌαααΆαααΆαααΎααααΌαααΆαααααΎααααΆααα
ααΆααα ααΆααααα ααααα αα·ααααααααΆααα’ααααα―αααΆαααααΆααΆαααααΎααΆααααα·ααααα½α - αααααα ααααΌ αα·α αα αααααΆ ααααΌααα ααααα·α αΆαααΆααΆαααααα·ααΈ Buhtrap αα·α RTM ααααΌαααΆαααααΎααααΆαααα½α α αΎααααα»αααΆαααΆααααα αΆαααΎαααααααααααΆαααααααααα ααΎαααΆαααααααααΆ αα»αααααΆααααααααα»ααα»αααααΆααΆαααααΈααΊααΌα ααααΆα αααα½ααααα½ααααααΊααΆααΎαααααααααα αΌααα ααα αααααααααα’αααααΆααααα αΆααααααααααΆα
ααΆαβααααβααααα
αααΆαα αα ααΆααααααααααααααααΆααααααΆαα»ααααΆα αααΎααααααΆααααα αααα ααΎααα ααααααααααααΌαααΆαααΆααααΆααααααΆαααααΆαααΆαα·αααααααααααΆααΆαα ααΆαααααααααααΆα§ααΆα ααα URLα
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ΡΠΊΠ°ΡΠ°ΡΡ Π±Π»Π°Π½ΠΊ ΡΡΠ΅ΡΠ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
ααΌα αααα’αααα’αΆα ααΎαααΎαααΈααα αααΆααααΌαααΆααααα αααα ααΎαααα·ααΆαααααααααααα αααΆαα bb.f2[.]kz α ααΆααΆααΆαααααΆαααααα»αααΆαααααααααΆααααΆααααΆαααααΆααΆααααα αΆααααα½ααα ααΎααα αααααααααααααααΆ ααΆααα’ααααΆαααααααααΆαααα»αααααΆααΆαααΌα ααααΆ (blanki_rsya) α αΎαααΆαα αααΎαααΆααααααΉαααααΆαααααααααααααααα α¬αααααα αααΆααα URL αααα αΆαααΆααααααααααααααΆααααααΆαα»ααααΆαααααΎααααΎ "ααΆααααααααααα·αααααααα" αααααΆαααααααααα·ααααααααααΎαα’αααΈααΆαααΆααααα αΆαααααα α ααΆαααααααααααΆααα ααααααααααααΆαααααΆααΆααααα αΆααααα½α αα·ααααα½αααααααααααααααΌαααααΆα
- ααΆααααααααααα·αααααααα β bb.f2[.]kz
- αα·α αα αααααΆααααΌ - Ipopen[.]ru
- ααααΌααΆααααααααΉααααααα·ααΈ - 77metrov[.]ru
- αααααααα·α αα ααααααααα - blank-dogovor-kupli-prodazhi [.]ru
- ααααα·αααααα»ααΆααΆαααααΌ - zen.yandex[.]ru
- ααΆααααααααΉαααααΌ - yurday[.]ru
- αααααααα·α αα αααααΆααααΌ - αααα·ααΆα[.]ru
- αααααααα·α αα αααααΆ β assistentus[.]ru
- αα·α αα ααααααααααααααααααααααΌ β napravah[.]com
- ααααΌαα·α αα αααααΆααααΌαα αααΆαα - Avito[.]ru
ααα ααααα blanki-shabloni24[.]ru α’αΆα ααααΌαααΆαααααααα ααΆααααααααααΎααααΈααααααΆααααΆαααΆαααααααααααΎαααΎαααΆααααα ααΆααααααΆ ααΆαααααΆαααΆαα·ααααααααααα ααα’α»ααα ααΆααααα ααααααααααΎααα ααΆααααααααα·ααααΆααΈααααΆαα½αααΉααααααααΆαααα ααΆαα GitHub α αΆααααΌα ααΆαα·αααΆαααΆαα’αΆααααααααααα ααΎαααΈααα α’αααααΆααααα αΆαααΆααααα ααα―αααΆαααααΆααΆααα αααα»αααααΆαααααααΆαααααααααααααααααα»ααααα αααααααααΆαααα»αα’αα‘α»αααααα»αααααΆααΆαα ααΆαα αααΎα ααααΆαα GitHub ααΆααααα»αα―αααΆα zip ααα α¬α―αααΆα EXE αααα ααΌα αααα α’αααααΆααααα αΆαα’αΆα α ααα αΆαααΆαααααΆαααΆαα·αααααααααΆαααα Yandex.Direct αα ααΎααα ααααααααααααααΆααααΌαααΆαα αΌαααΎααααααααααααααααα αΌααααααα»αααΆαααααΎααααα ααΉααααα½ααααααααααΆααααΆααα
αααααΆααβαα ααΎαβααΎαβααααα»αβααααααβαααβααΆαβα ααα αΆαβααΆαβαα·ααΈβαααα
ααΆααα·ααΆαααααα»α
ααΆααααααααα·ααααΆαα ααα αΆα
αα»αααααΆααΆαααααΆααΆαααΆαα αΆααααααΎααα α α»ααααα»ααΆ ααααΆα 2018 α αΎαααααααα ααααααααα αααααΆαααααΆααααΆααααΌαααΆαααΆααΆααΆααααα ααΎ GitHub ααΎαααΆαα αααααααΆαααααααααααααΆααααΉαααααΌαααααΆαα ααα αΆαααααα½ααααααα ααα½αααααΆααα½ααααααααααΆ (ααΌαααΎαααΌαααΆαααΆαααααα)α ααΎαβααΆαβααααααβαααααΆααβαααβαααα αΆαβααΈβαααβαααβαααβαααΆβααααΌαβααΆαβααβααΎα ααΌα βααΆβααΆααβαααβααα‘αααααααΈ ESET αααααΆααβααΆαβαααααβαααβααΆαα½αβαααααααα· gitα ααΌα αααα’αααα’αΆα ααΎαααΆααΆαααααααΆαααα’ααΆαα½αααΉαααΆαα’αΆα ααααΆααα payload αα ααΎ GitHub α ααΆααα»αααααΆαα α α»ααααα»ααααα’αΆα ααααΌαααΆααααααααααααΆααα·ααααααΆααΎααα·αααΆαααααααααααααααα·ααΆαααααΆααααααΌααααααααααααΆααααααΌαααΆαααα ααααΈ GitHub αα»ααααααΎαα’αΆα ααα½αααΆαααΆααααααα
ααΌαααΆαααΈ 1. ααΆααααααααα·ααααΆαα
ααα
αΆααααααα
αα·ααααΆααααααα α»αα αααααααΆααΎααΌα
αα»αααααΆααΆαααΆαααααΎαα·ααααΆααααααααΆα αααΎαα αα½αα ααα½αααααΌαααΆαα α»αα αααααααΆααααααα½ααΆααααααα αααΎαααΆααα½α ααααααααΆααααααααααΆααααΌαααααααααΆααΆαααααα·αααα·αααααα»αααααΆααΆαααΌα ααααΆα αααααΈααΆααΆαααα―αααααααα ααααα·ααααα·αααα·αααΆαα α»αα αααααααΆααΆαααααααααααααααααααααΈααα α αΎααα·αααΆαααααΎαααααααΆααααααΌααΆααα’αααααααα αα α α»ααααα»αααα ααααΆα 2019 α’αααααΆααααα αΆαααΆαα αΆααααααΎααααααΎαα αααααααΆαα·αααααΉαααααΌααααααααΎαα·ααααΆααααααααααααααααααααα Google ααααα½ααααα·αααΆαααα―αααα
αα·ααααΆααααααααΆααα’αααααααΆαααααααααΉααα»αααααΆααΆα αα·ααααα»ααααα½ααΆααααααααααα½αααα α»αα αααααααΆααααΌαααΆαααΆααααα»αααΆααΆαααΆααααααα
ααΎαααααΆαααααΎαα·ααααΆααααααα
α»αα αααααααΆααΎααΌαααΆαααααααααα ααΎααααΈαααααΎααααααααΆααααΆαα½ααααα»ααααα½ααΆααααααααααααααα αααααΆαααα·ααααΆααααααααΆαα
αααΎα ααΎααα·αααΆαααααΎαααααΌααααα·αααααΌαααΆαα
ααα
αΆαααΆααααααααΆαα GitHub ααα ααααααΆαααΆααααα αα·ααααΆαααααα TOV βMARIYAβ ααααΌαααΆαααααΎααΎααααΈα
α»αα αααααααΆααΎααααααααααΆαααααα·αααα·αααα botnet
Win32/Filecoder.Buhtrap
αααΆαααΆαα»ααααΌααααααΆααααΆαααΆαα αΆααα’αΆααααααααααααΎαααΊ Win32/Filecoder.Buhtrap αααααΎαααααΎαααααΈα αααααΊααΆα―αααΆααααααααααααααΈα Delphi ααααα½αααΆαααααΌαααΆαααα ααα ααΆααααΌαααΆαα ααα αΆαααΆα αααααα αααα»ααααα»αααα αααααααΈααΆ ααααΆα 2019α ααΆααααΎαααΆαααΌα αα ααΉααααααα·ααΈ ransomware - ααΆαααααααααααΆααααα»αααααα αα·ααααααααΆα αα·αα’αα·αααααΈαα―αααΆααααααΆαααααΎαα ααΆβαα·αβααααΌαβααΆαβααΆαβαααααΆααβα’ααΈαααΊαα·αβααΎααααΈβααααΌαβααΆαβααβαααααααααα½αβααβαααααβααΆβαα·αβααΆααααβαα βαααΆαααΈαβαααααΎβααΎααααΈβααααΎβααβα’αα·αααααΈαβα αααα½ααααα·α ααΆαααααα "αααααΆαααααΆαα" αα α α»ααααα ααααααΆααααααααα α αΎαααααΎα±ααααααΎα’ααΈααα α¬ Bitmessage ααΎααααΈααΆααααααααα·ααααα·ααα
ααΎααααΈα’αα·αααααΈαααααΆααααΎαα±ααααΆαα αααΎαααΆααααα’αΆα ααααΎαα ααΆα Filecoder.Buhtrap ααααΎαααΆααααααααα‘αΆααααααααΌαααΆααα ααΆα‘αΎαααΎααααΈαα·ααααααα·ααΈαααααΉααααα’αΆα ααΆαα§ααααααααααααΆαα―αααΆαααΎαα αα αααααΆαααααααΆαααααΆαααααααααα’αΆα ααααΆααααααΆαα’αα·αααααΈαα ααααΎαααΆαααααα ααΆαα αααΎαααΊαααααααααααααααααααΌαααααΆααα·αααααα (DBMS)α ααΎαααΈααα Filecoder.Buhtrap αα»αα―αααΆααααααα ααα» αα·αααΆαααααα»ααα»αααΎααααΈααααΎα±ααααΆαααΎαα‘αΎααα·ααα·αααααααα·ααΆαα ααΎααααΈααααΎααΌα αααα ααΌαααααΎαααΆαααααααΈαααΆααΆα αααΆααααααα
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap ααααΎααααΆααααααΆαααα IP Logger α’αα‘αΆαααααα αααΆαααααααααΌαααΆααα ααΆα‘αΎαααΎααααΈαααααΌαααααααΆαα’αααΈα’αααα αΌαααΎαααα αααααα αααααΊααΆαααααααΆαααΆαααααααααααα ransomware αααααΆαααα½ααα»αααααΌααααααααΆααααΆααααααααΆα
mshta.exe "javascript:document.write('');"
α―αααΆααααααΆααααΆαα’αα·αααααΈαααααΌαααΆαααααΎαααΎα ααααα·αααΎαα½αααΆαα·αααααΌαααααΆααΉααααααΈααα ααα ααα½αααΈα ααΈαα½α α―αααΆααααααΆααααααααααααααΆαααααααα·αααααΌαααΆαα’αα·αααααΈαααα .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys αα·α .bat. ααΈααΈα α―αααΆαααΆααα’αααααααααΌααααααΆαααααα’ααααααααΈαααααΈααΆααααααααααΌαααΆαααα ααα
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
ααΈααΈ αααααα―αααΆααα½αα ααα½αααααααΌαααΆαααα ααααΈααΆαα’αα·αααααΈαααα αααα»αα ααααααααααααα―αααΆαααααΆαααααααααα αααααΈααααΌαααΆααααα αΆαααΆααααααα ααΆααααααα ααΆαααΎααααααΆααα’αααααααΊααΆαααααααααααααΆαααΆαααΈαα±ααααααΎαααΆα ααα»ααααααΆαα½αααΉαααΆαααααα·ααααααααΌααα·α αα½α αααα»αα
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
αααααααΆαααααΆαα’αα·αααααΈαα―αααΆα
αα ααααααααααΌαααΆαααααα·ααααα· αααααααΉααααααΎαααΌαα RSA 512 αααΈαα αααααΆαααα αα·αααααααα―ααα (d) αα·ααααΌαα»α (n) ααααΌαααΆαα’αα·αααααΈαααΆαα½αααΉαααΌαααΉαααΆααΆααα 2048 αααΈα (αα·αααααααααΆααΆααα αα·ααααΌαα»α) zlib-packed αα·α base64 αααααΆαα’αα·αααΌαα αααααΌααααααα½ααα»αααααΌαα αααααααα αΆαααααααΌαααΆααααα αΆααααα»αααΌαααΆαααΈ 2 α
ααΌαααΆαααΈ 2. ααααααααααΆαααααα Hex-Rays ααααααΎαααΆααααααΎαααΌαααααΉα RSA 512 αααΈαα
ααΆαααααααααααΆα§ααΆα αααααα’αααααααααααΆαααααΆαααα―ααααααααΆααααααΎα αααααΆαααααΆαααααΆαααααααααΆαααα ααΉαααΆαααααααααα
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
ααααΆααΆαααααααα’αααααΆααααα αΆαααααΌαααΆααααααα±ααααΆααααααα
e = 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
n = 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
α―αααΆαααααΌαααΆαα’αα·αααααΈααααααααΎ AES-128-CBC ααΆαα½αααΉααα 256 αααΈαα αααααΆααα―αααΆααααααΆαα’αα·αααααΈαααΈαα½αα ααααααΈ αα·αααα·α
αααα
αΆααααααΎαααααΈααααΌαααΆααααααΎαα ααααααΆααααααΉαααααΌαααΆααααααααα
α
α»ααααα
ααααα―αααΆααααααΆαα’αα·αααααΈαα α
αΌαααΎααα·α
αΆαααΆα’αααΈααααααααα―αααΆααααααΆαα’αα·αααααΈαα
α―αααΆααααααΆαα’αα·αααααΈαααΆαααααααΆααΌα
ααΆααααααα
αα·ααααααα―αααΆααααααααΆαα½αααΉαααΆααααααααααααααααααα VEGA ααααΌαααΆαα’αα·αααααΈααα
ααΆ 0x5000 ααααααΌαα ααααααΆαααααΆααα·ααααΈαααΆααα’ααααααΌαααΆαααααΆαααα
α―αααΆααααααΆααα
ααΆααααααααααΌα
ααΆααααααα
- αααααΆαααααΆααααα αα―αααΆαααΆααααααΆαααααΆααααΆααΎα―αααΆαααΆαααα αααααΆαααα α 0x5000 αα
β AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, public key of the generated RSA key pair))
- RSA key blob = ZlibCompress(RSAencrypt(αααααΎαααα―ααα RSA, hard-coded RSA public key))
Win32/ClipBanker
Win32/ClipBanker ααΊααΆαααΆαααΆαα»αα½ααααααααΌαααΆαα ααα αΆαααΆαααααααααΆααα αΆααααΈα α»ααααα»ααΆαααααΎαααααααΌ ααααΆα2018α αα½ααΆααΈααααααΆααΊααΎααααΈαααα½ααα·αα·αααααΆαα·ααΆααααααΆαααααααααααΆααααΆααααΎαα’αΆααααααΆαααααΆααΌα cryptocurrency α αααααΆααααααα’αΆααααααΆαααΆααΌαααααα ClipBanker αααα½αααΆαααα’αΆααααααΆααααααααΏααΆααΆααααααααα·ααααα·ααα ααααΆαβαααβααΎαβαα·αα·αααβααΊβαα·αβααΆαβαααα’αα α¬βαα·αβα αααΆααβααΆααβααα ααααααΆααααα½αααααααααααΎααΎααααΈαα·αααΆααα₯αα·ααΆααααΊααΆαα’αα·αααααΈαααααα’ααααα α’αΆααααααΆαααΆααΌαααααααααα·ααααα·ααααααΌαααΆαα’αα·αααααΈααααααααΎ RC4 α ααΌαα·ααααααααΈααΈααααααα ααΊ Bitcoin, Bitcoin ααΆα αααααΆαα, Dogecoin, Ethereum αα·α Ripple α
αααα»αα’αα‘α»αααααααααααααααα»αααΈαααΆαααΆααα ααΆααααΆααΌα Bitcoin ααααα’αααααΆααααα αΆα α ααα½ααα·α αα½α ααααΌαααΆααααααΌααα VTS αααααααα±ααααΆαααΆαααααααααΎααΆααααααααααα»αααααΆααΆαα ααΎαααΈαααααα αα·αααΆααααααα»ααΆαααΆαα½αααααααα αΆαααΆααααα·ααααα·ααΆαααΆαααααααΆααααααΉα ClipBanker ααΆαααααααα
Win32/RTM
αααΆαααΆα Win32/RTM ααααΌαααΆαα
ααα
αΆαααΆα
αααΎααααααα
ααΎαααααΈααΆ ααααΆα 2019α RTM ααΊααΆαααΆααΆαα·α Trojan αααααααΌαααΆαααααααα
αααα»α Delphi αααααΆααααααααααΎαααααααααααΆααΆαααΈα
ααααΆαα αα
ααααΆα 2017 α’αααααααΆαααααΆα ESET ααΆαααααα»αααααααΆα
α§ααααααααα»α Buhtrap
αααααΆααααααααα αααααα·ααΈααΆαααααΆααα
ααΎ GitHub ααααα·αααααααααΉαα§ααααα Buhtrap αα»ααααααα ααΆααααΆααα
https://94.100.18[.]67/RSS.php?<some_id>
ααΎααααΈααα½αααΆαααααΆααααΆααααααΆαα α αΎααααα»αααΆαααααααΆαααα
αααα»αα’αααα
αα
αΆαα ααΎαα’αΆα
αααα
ααα₯αα·ααΆααααΈαααααΌαααααΆααααΆαααΈααΈαα αα
αααα»α URL ααααΌα RSS.php ααΆαααααααΆαα Buhtrap backdoor αααααααΆαα - backdoor αααααΊαααααααα
ααΉαα’αααΈαααααΆααααααΆααααΈααΌααααααααααΌαααΆαααα
ααααΆαα
αα½αα±ααα
αΆααα’αΆαααααα ααΎαααΎααα»αααααΆααΆαααΆα
αααΎαααΆαα½α Buhtrap backdoor α αΎααα½αααααααΌαααΆαα
αααααααΆααααΆααααΎαααΆααααααααα·ααααα·ααααααααααααΆα αααα»αααααΈααα ααΆααα»αααααΆααααΆααααΊααΆ backdoor ααααΌαααΆααααα»ααααααααΆαααα
αααα»αα’αααα
αα
αΆα α αΎααα·αααααΎαααααααΆαααααααααΆααΆαα½αααΉαααααΎαααΆαααΆαααααααΆα DLL αααααΎαααΆααα·ααΆααααααα
α’αΆαααααα·αα·ααΆαααααα»αααααΆαααΈααΈαααΊααΆ URL RSS.php ααααΌαααΆααααααΌααα
αααααα·ααΈαααα»αααααααααα ααΆααΆαα’αα»ααααααΆαα
ααααΌαα
ααααααα½αα
ααα½α ααΌα
ααΆααΆααααΆαα‘αΎααα·αααΌαααΆααΆαααΆαα
αΌαααΆαααααα ααααααααααααααα·ααΈα
αΆααααααΎαααααααααααΊααΎααααΈααΆαααααααΆαααΈααα C&C
ααααααααααααα·ααααα·ααΆα Android/Spy.Banker
αα½αα±ααα αΆααα’αΆαααααααααΆαααΆαα»αα½ααααααΆααααααααααααααα·ααααα·ααΆα Android ααααααΌαααΆαααααΎααα αααα»αααααΆαα GitHub αααααα ααΆααβαα βααΆααΆβααβααβαα½αβααααβααα»ααααα ααΊβααααβααΈ 1 ααβαα·α ααα·ααΆ ααααΆα 2018α αααα ααΈααααΌαααΆααααα αααα ααΎ GitHub, ESET telemetry αααα·αααΎαααααα»ααΆααααααααααααααααααΌαααΆαα ααα αΆαα
αααΆαααΆαααααΌαααΆααααα ααααΆαααα αααααααα·ααΈ Android (APK) α ααΆβααΆαβααΆαβα ααααΌαα αααααβααααΆααα α’αΆαααααα·αα·ααΆααααΆααΆαααααΌαααΆαααΆαααα αααα»α JAR αααααΆαα’αα·αααααΈααααααΆαααΈααΆαααα αααα»α APK α ααΆααααΌαααΆαα’αα·αααααΈαααΆαα½α RC4 αααααααΎαααααα
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
ααααΆααα
α»α
αα·ααααα½ααααααααΆαααΌα
ααααΆααααΌαααΆαααααΎααΎααααΈα’αα·αααααΈαααααα’ααααα JAR ααΆαααΈααΆαααα
APK_ROOT + image/files
. 4 ααααααΌαααα―αααΆαααΆααααααααα JAR αααααΆαα’αα·αααααΈα αααα
αΆααααααΎαααααΆαααααααΆααααΈααΆαααααααα
αααααΆααα·ααααΈαα―αααΆα ααΎαααΆαααααΎαααΆααΆααΆ Anubis - ααΈαα»α
- ααΆαααααΈααααΌα αααΌα
- ααααΌαα’αααααα
- ααα½αααΆαααΌα’ααααα GPS
- keylogger
- ααΆαα’αα·αααααΈααα·ααααααα§ααααα αα·αααΆαααΆαααΆααααααααα
- ααααΎααΆαα₯αααΆαααΆα
αα½αα±ααα αΆααα’αΆαααααα αααΆααΆαα·αααΆαααααΎ Twitter ααΆαααααΆαααααΆααααααααααα»ααα»α ααΎααααΈααα½αααΆααααΆαααΈααα C&C ααααααααα ααααΌαααααΎααα·ααΆαααΆαααααΎααααΈ @JonesTrader ααα»αααααα αααααααΎααΆααα·ααΆα ααΆααααΌαααΆαααΆααΆαααα½α α αΎαα
αααΆααΆαα·αααΆααααααΈαααααα·ααΈααααα αα ααΎα§ααααα Android α ααΆβαααβααΆαβαααααΈβαααβααα½αβααΆαβαααα»αβααΆαβαα·ααααΆβαααααα αααααΈααααα½αααΆααααααα·ααΈαααΆααΆαααΆα αααΎα αααααα·ααΈαα·ααααα·αααΆαα’ααΈαααΊαα·αααΌα ααΆ Amazon αα·α eBay αα·αααααΆααααααΌαα·ααααααααααΈαααΌα
MSIL/ClipBanker.IH
αααΆαααΆαα α»αααααααααααααΌαααΆαα ααα αΆαααΆααααααααα»αααααΆααΆααααααΊ .NET Windows α’αΆα ααααα·ααααα·ααΆα αααααΆααααα αΆααααα½ααα αααα»αααααΈααΆ ααααΆα 2019α ααααααΆαα αααΎααααααΆααα·ααααΆααααΌαααΆαααα ααααΆαα½α ConfuserEx v1.0.0 α ααΌα ClipBanker αααΆαααΆαα»αααααααΎααααΆαααααααααααΆααα ααααα ααααααΆααααΊααΌααααΌααΆαααααΌαα·ααααααααααΈαααΌ ααααΌα ααΆααΆααααααααΌααα ααΎ Steam α ααΎαααΈααααααααΆααααααΎααααΆαααα IP Logger ααΎααααΈαα½α ααα WIF α―ααααααα Bitcoin α
ααααααΆαααΆαααΆα
ααααααααΈααΎα’αααααααααααααα ConfuserEx αααααα²αααααα»αααΆαααΆαααΆαααΆαααααΆααααα α»α ααΆααααα
αα αα·αααΆαααααΆα αααΆαααΆαα»ααααα½ααααα
αΌαααΆαααααααααΆααααα»αααΆαααααΎαααα·αααααα
αΆααααααα αα·ααααΆαααΈααα·αααα·αα
ααΎααααΈαααααααααΆααααΆααΆααααΎαααΆααααα»ααααΆαααΈααα·αααα·α αααααααααΎαααααΆααααΆααααααααΆ Windows WMI (WMIC) αααααααΆααααααΆαα½αααΎααααΈααααΎαα»αααααααΆα BIOS αααααΊα
wmic bios
αααααΆαααααααααα·ααΈαααααααααααΆααααααααΆ α αΎαααααΎαααΆααααααααΉαα VBOX, VirtualBox, XEN, qemu, bochs, VM α
ααΎααααΈαααααααααα·αααααα
αΆααααααα αααααααΆαααααΎααααΎααα»α Windows Management Instrumentation (WMI) αα
ααΆαα Windows Security Center αααααααΎααααΆαα ManagementObjectSearcher
API ααΌα
αααα αΆαααΆααααααα αααααΆααααΈααΆααα·ααΌαααΈ base64 ααΆαα α
ααΎααα
ααΌα
αααα
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
ααΌαααΆαααΈ 3. ααααΎαααΆααααααα’ααααααααΆαααα·αααααα
αΆαααααααα
ααΎαααΈααααααααααααα·αα·αααααΎαααΆααΎ
ααΆαααααΌ
ααααααααααααααααΎααα·ααααΆααΆαα
αααααααα½αααΆαα
αααα»α %APPDATA%googleupdater.exe
α αΎαααααααα»ααααααα "ααΆαα" αααααΆαααα Google α αααααΆααααααΆαααααΆααααααΌαααααα SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
αα
αααα»ααααααΈαααααααΈαααΌ α αΎαααααααααααΌα updater.exe
. αα·ααΈααα αααααααΉαααααΌαααΆαααααα·ααααα·ααΆααααααααα’αααααααΎααααΆααα
αΌαα
α’αΆαααααα·αα·ααΆααααΆααΆα
ααΌα ClipBanker αααααααααααα½ααα·αα·αααααΆαα·ααΆααααααΆαααααααααααΆαα α αΎαααααΎαα’αΆααααααΆαααΆααΌααα»αααααΈαααΌ α αΎααα αααααααΎα αααα½αααΆαααα’αΆααααααΆααα½αααααααα·ααααα·ααα ααΆαααααααααααΊααΆαααααΈα’αΆααααααΆαααααα αααααα’ααααΎα’αααΈαααααααΌαααΆαααααΎααα αααα»αααΌαα
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
αααααΆααααααααα’αΆααααααΆαααΈαα½ααααΆααααααααααααΆαααααααααΌαααααΆα ααααα STEAM_URL ααααΌαααΆαααααΎααΎααααΈααΆααααα αΆααααααααα Steam ααΌα αααα’αΆα ααΎαααΎαααΈααααααααααααΆαααααααΌαααΆαααααΎααΎααααΈααααααα αααα»αααααα»αα
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
ααΆαααααΆαααααα»ααα
ααααααααΈααΎααΆααααα½αα’αΆααααααΆααα αααα»αααα·ααααααα’αΆαααα αααααααααααααααααα ααΎαα WIF α―ααααααα Bitcoin, Bitcoin Core αα·α Electrum Bitcoin walletsα αααααα·ααΈαααααααΎ plogger.org ααΆααΆαααααααααα αα ααΎααααΈααα½αααΆαααα―ααα WIF α ααΎααααΈααααΎααΌα αααα ααααα·ααααα·αααααααααα·ααααααααα―ααααα ααααααΆ User-Agent HTTP ααΌα ααΆααααα αΆαααΆααααααα
ααΌαααΆαααΈ 4. αα»αααΌα IP Logger ααΆαα½αααΉααα·ααααααααααααα
ααααα·ααααα·αααα·αααΆαααααΎ iplogger.org ααΎααααΈααααα»αααααΆααΌαααα αα½ααααααα ααααΆααΆαααααΎαα·ααΈαααααααααΆαααααΆααααααααααααα½α’αααα 255 αα
αααα»αααΆα User-Agent
αααα αΆααα
αααα»αα
ααα»α
αααααΆαααααααΆα IP Logger α αα
αααα»αααααΌαααααΎαααΆααα·ααααΆ αααΆαααΈαααααααααααααααααααααΌαααΆααααααΆαα»ααααα»αα’αααααα·ααααΆα DiscordWebHook
. αα½αα±ααααααΆααααα’αΎα α’αααααα·ααααΆαααααα·αααααΌαααΆαααααααα
ααααααααΆαα½ααα
αααα»αααΌααααααα ααααααα αΆαααΆααααααα
αααααα·ααααααααΆαα’αα·αααααα α αΎαα’αααααααΌαααΆαααααααα
α±αααααΆαααΈαααΆαααααααααααααα·ααααα·ααα
ααΆααααααΆαα½αααααααααΆαααααα·ααΈαααα»ααααα·ααααα»αααΆαα’αα·ααααααα α―αααΆααααααΈααα½αααΆα iplogger.org URLs ααΈα α αΎαααΆααααΈαααααΌαααΆααα½ααα ααααα·ααααααααααΌαααΆααααααα ααα αα αααα»αααΆαααααΎαα»ααα ααΆαα URLs αα½ααααα»αα αααα URL ααΆααααα ααααααα αααα»αααΆα Referer ααααΌαααΆαααΆααα»αααα "DEV /" α ααΎαβααβααΆαβααβααΎαβααααβαααβαα·αβααααΌαβααΆαβααα ααβαααβααααΎ ConfuserEx α’αααβααα½αβαααααΆαα URL αααβααΆαβαααααβααΆ DevFeedbackUrlα αααααα’ααααΎαααααα’αααααα·ααααΆα ααΎαααΏααΆααααα·ααααα·αααααααααΉαααααΎααααΆααααααΆααααααααα αααΆαα Discord αα·αααααααααααααΆααα αΆααααα ααααααααααααα½αααΎααααΈαα½α ααΆααΌααα»αααααΈαααΌα
ααα ααααΈααααα·ααααΆα
αα»αααααΆααΆααααααΊααΆα§ααΆα αααααααΆαααααΎααααΆααααααΆααααααααΆαααΆαα·αααααααααααα αααΆαααααα»αααΆαααΆααααα αΆαααΆαα’ααΈαααΊαα·αα αααααααΆαααααααααααααΎα’αααααΆααα»αααααΈ ααα»ααααααΎαααΉααα·αααααΆααααα’αΎααααααααΎαααΆαααΆααααα αΆααααααααααααααΎααααΆααααααααα·ααααααΆαααααα»αααααΈα ααΎααααΈαααααΆαααΆααααααααααα½α α’αααααααΎααααΆααααααΌαααααΏααΆααααΎαααααα·ααααααααααααααααααααα·ααΈααααα½αααααΆαααα
αααααΈααααααααααΌα
ααΆααααααΆααααααααααα½α αα·ααα»ααααααα MITER ATT&CK ααΆααα
ααααα: www.habr.com