Cum anno proximo exeunte, novam expeditionem malevolam sequi coepimus, ut negotium argentarium Troianum divideret. Impugnatores feruntur in composuisse Russian societates, i.e., corporatos utentes. Malivola expeditio saltem per annum erat et, praeter Argentariam Troianam, oppugnatores variis aliis instrumentis programmatis adhibitis convenerunt. Haec includit specialis usura packaged oneratus et spyware, quod fuco nota legitima Yandex Punto utaris. Cum oppugnatores in computatrum victimae comportare curaverunt, posticum instituunt et deinde Troianus argentarius.
Pro malware eorum, oppugnatores complures validos (tunc) libellos digitales et methodos speciales ad productos AV praetermittendos usi sunt. Expeditio malitiosa magnum numerum riparum Russiae iaculis et peculiaris interest, quia oppugnatores modi usi sunt in oppugnationibus iaculis, i.e., oppugnationes quae pure per fraudem nummariam non moventur. Notare possumus nonnullas similitudines inter hanc expeditionem maliciam et maiorem incidentium quae magnam famam prius accepit. Loquimur de cybercriminali coetus argentaria Troiano usus est /.
Oppugnatores malware tantum in iis computatoribus inauguratis qui Russicam linguam in Windows (localization) defaltam adhibebant. Summa distributio vectoris Troiani erat documentum Verbi cum facinore. quod missum est ut documentum affixum. Eenshotsscrae infra speciem documentorum fictorum ostendunt. Primum documentum "Cautionem No. 522375-FLORL-14-115.doc" inscribitur, et secundum "kontrakt87.doc" est exemplar contractus provisio muneris telecommunicationis per mobile operator Megafon.
Renatus. 1. Phishing document.
Renatus. 2. Alia modificatio documenti hamatae.
Rebus sequentibus indicant oppugnatores negociatorum Russiae oppugnatores esse;
- distributio malware utens fictis documentis in determinato argumento;
- ratio oppugnantium et malitiosa instrumenta utuntur;
- nexus ad applicationes negotii in modulis exsecutabilium;
- nomina malignorum ditionum quae in hac expeditione adhibebantur.
Praecipua instrumenta programmantia quae oppugnatores in systemate periculoso instituunt sinunt eos ut remotum imperium systematis ac monitoris actionis usoris recipiant. Ad has functiones fungi, posticum instituunt et etiam tesseram rationem Fenestram obtinere conantur vel novam rationem creant. Impugnatores etiam ad operas keylogger (keylogger), in Fenestra fraudatoris clipboard, et specialem programmatum ad operandum cum schedulis captiosis. Circulus hic alios computatres qui in eadem retiacula locali erant cum computatrum victimae conficere conati sunt.
Nostra ratio telemetria ESET LiveGrid, quae nobis permittit ut cito indagamus malware distributionem mutant, dum nobis cum interesting geographica statistica in distributione malware usus est ab oppugnatoribus in expeditione memorata.
Renatus. 3. Statistica in distributione geographica malware in hac expeditione malitiosa adhibita.
malware installing
Postquam usor malignum documentum aperit cum facinore in systemate vulnerabili, peculiaris receptator involucrus NSIS utens inibi detrahetur et interficietur. In principio sui operis, programma coercet fenestras ambitus ad praesentiam debuggers ibi vel ad currendum in contextu virtualis apparatus. Etiam localizationem Fenestrarum inhibet et num usor domicilia infra in tabula in navigatro recensita visitavit. APIs sunt pro hoc FindFirst/NextUrlCacheEntry et subcriptio key SoftwareMicrosoftInternet ExplorerTypedURLs.
Tabernarius impedit praesentiam applicationum sequentium in systematis.
Processus index vere gravis est et, ut vides, non modo applicationes faecundas includit. Exempli gratia, documentum exsecutabile nomine "scardsvr.exe" refertur ad programmatum ad operandum cum chartis captiosis (Microsoft SmartCard lector). Argentaria ipsa Troiana includit facultatem pecto laborandi callidis.
Renatus. 4. Figura generalis processus institutionis malware.
Si omnes repressiones feliciter peractae sunt, oneratus fasciculum specialem (archive) a remoto servo downloads, qui omnes modulorum exsecutabilium malitiosorum ab oppugnantium usu continet. Iuvat notare quod secundum executionem coercetionum superiorum, archiva quae a remotis C&C ministrantis sunt differre possunt. Archivum sit vel non esse malitiosum. Si non malignus, Windows Live Toolbar installat pro usuario. Verisimile, oppugnatores similes praestigiis ad decipiendos analyseos file analyseos systema- mata et virtuales machinas in quibus suspiciosus fasciculi exsecuti sunt.
Tabella downloade ab NSIS receptator est 7z archivum quod varios modulorum malware continet. Imago infra ostendit totam processum institutionis huius malware et varios eius modulos.
Renatus. 5. Consilium generale quomodo opera malware.
Licet moduli onerati diversis propositis oppugnatoribus serviant, numerorum numerorum sarcinae sunt et multae ex iis signatae sunt validis testimonialibus digitalibus. Quattuor tales libellos invenimus qui oppugnatores ab initio expeditionis usi sunt. Querelam nostram secuti hi testimoniales sunt revocati. Iucundum est animadvertere omnes libellos edendos esse societatibus Moscuae descripti.
Renatus. 6. libellum digitale adhibitum ad malware subscribendum.
Sequens tabula libellos digitales designat quos oppugnatores in hac expeditione malitiosa adhibebant.
Fere omnes malivoli moduli ab oppugnatoribus adhibiti eandem institutionem habent procedendi. Sunt archivi 7zip auto-extractiones qui tesserae sunt tutae.
Renatus. 7. Fragmentum fasciculi batch install.cmd.
Scapus batch .cmd fasciculus responsabilis est malware in systema inaugurari et varia instrumenta oppugnatoris inicere. Si exsecutio requirit absentia iura administrativa, codice malitiosa pluribus modis utitur ad eas obtinendas (omisso UAC). Ad primam methodum efficiendam adhibentur duae tabulae exsecutabiles quae l1.exe et cc1.exe dicuntur, quae specialize in praetereunte UAC utendo. Fons codicibus Carberp. Alia ratio fundatur in nuditate CVE-2013-3660 abutendi. Singuli moduli malware qui privilegii propagationem requirunt, tam 32 frenum quam 64 frenum continet versionis facinoris.
Dum hanc expeditionem sequimur, complura archiva quae a receptatore sunt enucleata. Contenta archivi variae, oppugnatores significantes modulos malitiosos ad diversos usus accommodare poterant.
User compromissum
Ut supra memoravimus, oppugnatores specialibus instrumentis utuntur ad computatores utentes compromittentes. Instrumenta haec programmata includunt cum file exsecutabili nominum mimi.exe et xtm.exe. Oppugnatores adiuvant imperium de computatro victimae et specialize in sequentibus officiis exercendis: obtentu/recuperare rationes pro Fenestra rationum, qua RDP ministerium efficiunt, novam rationem in OS creant.
Mimi.exe exsecutabile includit modificatam versionem notae fons instrumentum apertum . Hoc instrumentum permittit te obtinere Windows usoris passwords. Oppugnatores partem ab Mimikatz removerunt, quod est responsalis commercii usoris. Codex exsecutabilis etiam mutatus est ut, cum deductus esset, Mimikatz cum privilegio :: debug et sekurlsa:logonPasswords imperat.
Aliud documentum exsecutabile, xtm.exe, scripta specialia immittit quae RDP ministerium in systemate efficiunt, novam rationem in OS creare conantur, ac etiam uncinis systematis mutatur ut plures usores simul coniungere ad compromissum per RDP computatorium. Patet, hi gradus sunt necessaria ad plenam potestatem compromissarii acquirendam.
Renatus. 8. Praecepta facienda per xtm.exe in systemate.
Impugnatores alio documento exsecutabili utuntur impack.exe vocato, qui ad specialem rationem programmatis instituendi adhibetur. Haec programmatio LiteManager appellatur et ab oppugnatoribus posticum adhibetur.
Renatus. 9. LiteManager instrumenti.
Cum in systemate usoris institutum est, LiteManager oppugnatores permittit ut illi systemati directe coniungat ac remote regat. Hic programmator mandatum speciale lineae parametri habet ad occultam institutionem, creationem singularum firemarum regularum et moduli eius deducendi. Omnes parametri ab oppugnatoribus adhibentur.
Ultimus modulus sarcinae malware ab oppugnatoribus usus est programmata malware argentaria (argentaria) cum documenti exsecutabili nomine pn_pack.exe. In explorando utentem specialem facit et responsabilis est mutuae cum servo C&C. Argentarius inducitur utens legitimo Yandex Punto programmate. Punto ab oppugnatoribus malignis DLL bibliothecas immittendi (DLL methodus Side-Loading). Ipsum malware functiones quae sequuntur fungi possunt:
- claviaturae claviaturae indagant et contenta clipboard pro subsequenti transmissione ad longinquum server;
- enumerare omnes schedulae captiosae quae insunt in systematis;
- penitus a remotis C & C servo.
Modulus malware, qui ad omnia haec negotia perficienda pertinet, bibliotheca DLL encryptata est. Decryptum et in memoriam in Punto supplicium deprimitur. Ad haec opera facienda, Codex exsecutabilis DLL tria sequela incipit.
Quod oppugnatores programmatum Punto elegerunt, mirum non est: nonnulla fora Russica palam singillatim de talibus argumentis praebent, tamquam menda in legitimis programmatibus utentes componendi usores.
Malitiosa bibliotheca algorithmus RC4 utitur ad encryptas suas chordas, tum in interactionibus retis cum servo C&C. Singulis duobus minutis ministris tangit et ibi tradit omnia notitia quae in systemate periculoso hoc temporis spatio collecta sunt.
Renatus. 10. Fragmentum retis commercii inter bot et ministratorem.
Infra sunt quidam e servo C&C mandatum quod bibliotheca recipere potest.
Cum mandatis a C&C servo accipiendis, malware respondet cum codice status. Iucundum est animadvertere omnes modulos argentarios quos enucleavi (pro recentissima cum compilatione data die 18 mensis Ianuarii) inesse chorda "TEST_BOTNET", quae singulis nuntiis ad C&C mittitur.
conclusio,
Ad corporatos utentes componere, oppugnatores in primo scaena unum operarium societatis compromiserunt mittendo nuntium hamatae cum facinore. Deinde, cum malware in systema instituitur, instrumenta programmata utentur quae significanter adiuvabunt auctoritatem suam in systemate expandent et alia negotia in eo perficiant: alios computatores in retis corporatis componunt et usorem explorant, tum quae res faenus exercet.
Source: www.habr.com