ตั้งแต่ปลายปีที่แล้ว เราเริ่มติดตามแคมเปญที่เป็นอันตรายใหม่เพื่อกระจายโทรจันธนาคาร ผู้โจมตีมุ่งเน้นไปที่การประนีประนอมบริษัทรัสเซีย เช่น ผู้ใช้องค์กร แคมเปญที่เป็นอันตรายเปิดใช้งานมาอย่างน้อยหนึ่งปี และนอกเหนือจากโทรจันธนาคารแล้ว ผู้โจมตียังใช้เครื่องมือซอฟต์แวร์อื่นๆ อีกด้วย ซึ่งรวมถึงตัวโหลดพิเศษที่บรรจุโดยใช้ และสปายแวร์ซึ่งปลอมตัวเป็นซอฟต์แวร์ Yandex Punto ที่ถูกกฎหมายที่รู้จักกันดี เมื่อผู้โจมตีสามารถโจมตีคอมพิวเตอร์ของเหยื่อได้ พวกเขาจะติดตั้งแบ็คดอร์และโทรจันธนาคาร
สำหรับมัลแวร์ ผู้โจมตีใช้ใบรับรองดิจิทัลที่ถูกต้อง (ในขณะนั้น) และวิธีการพิเศษเพื่อหลีกเลี่ยงผลิตภัณฑ์ AV แคมเปญที่เป็นอันตรายกำหนดเป้าหมายไปยังธนาคารรัสเซียจำนวนมากและเป็นที่สนใจเป็นพิเศษ เนื่องจากผู้โจมตีใช้วิธีการที่มักใช้ในการโจมตีแบบกำหนดเป้าหมาย กล่าวคือ การโจมตีที่ไม่ได้รับแรงจูงใจจากการฉ้อโกงทางการเงินเพียงอย่างเดียว เราสามารถสังเกตความคล้ายคลึงกันระหว่างแคมเปญที่เป็นอันตรายนี้กับเหตุการณ์สำคัญที่ได้รับการเผยแพร่อย่างกว้างขวางก่อนหน้านี้ เรากำลังพูดถึงกลุ่มอาชญากรไซเบอร์ที่ใช้โทรจันธนาคาร /.
ผู้โจมตีติดตั้งมัลแวร์เฉพาะในคอมพิวเตอร์ที่ใช้ภาษารัสเซียใน Windows (การแปลเป็นภาษาท้องถิ่น) ตามค่าเริ่มต้น เวกเตอร์การกระจายหลักของโทรจันคือเอกสาร Word ที่มีการใช้ประโยชน์ ซึ่งถูกส่งมาเป็นไฟล์แนบไปกับเอกสาร ภาพหน้าจอด้านล่างแสดงลักษณะของเอกสารปลอมดังกล่าว เอกสารฉบับแรกมีชื่อว่า "ใบแจ้งหนี้หมายเลข 522375-FLORL-14-115.doc" และฉบับที่สอง "kontrakt87.doc" เป็นสำเนาของสัญญาการให้บริการโทรคมนาคมโดยผู้ให้บริการโทรศัพท์มือถือ Megafon
ข้าว. 1. เอกสารฟิชชิ่ง
ข้าว. 2. การแก้ไขเอกสารฟิชชิ่งอีกครั้ง
ข้อเท็จจริงต่อไปนี้บ่งชี้ว่าผู้โจมตีมุ่งเป้าไปที่ธุรกิจในรัสเซีย:
- การกระจายมัลแวร์โดยใช้เอกสารปลอมในหัวข้อที่กำหนด
- กลยุทธ์ของผู้โจมตีและเครื่องมือที่เป็นอันตรายที่พวกเขาใช้
- ลิงก์ไปยังแอปพลิเคชันทางธุรกิจในบางโมดูลที่ปฏิบัติการได้
- ชื่อของโดเมนที่เป็นอันตรายที่ใช้ในแคมเปญนี้
เครื่องมือซอฟต์แวร์พิเศษที่ผู้โจมตีติดตั้งบนระบบที่ถูกบุกรุกช่วยให้พวกเขาสามารถควบคุมระบบจากระยะไกลและติดตามกิจกรรมของผู้ใช้ ในการทำหน้าที่เหล่านี้ พวกเขาติดตั้งแบ็คดอร์และพยายามรับรหัสผ่านบัญชี Windows หรือสร้างบัญชีใหม่ ผู้โจมตียังหันไปใช้บริการของคีย์ล็อกเกอร์ (คีย์ล็อกเกอร์) ตัวขโมยคลิปบอร์ดของ Windows และซอฟต์แวร์พิเศษสำหรับการทำงานกับสมาร์ทการ์ด กลุ่มนี้พยายามประนีประนอมคอมพิวเตอร์เครื่องอื่นที่อยู่ในเครือข่ายท้องถิ่นเดียวกันกับคอมพิวเตอร์ของเหยื่อ
ระบบการวัดและส่งข้อมูลทางไกลของ ESET LiveGrid ของเรา ซึ่งช่วยให้เราสามารถติดตามสถิติการกระจายมัลแวร์ได้อย่างรวดเร็ว ทำให้เราทราบสถิติทางภูมิศาสตร์ที่น่าสนใจเกี่ยวกับการแพร่กระจายของมัลแวร์ที่ผู้โจมตีใช้ในแคมเปญดังกล่าว
ข้าว. 3. สถิติการกระจายมัลแวร์ทางภูมิศาสตร์ที่ใช้ในแคมเปญที่เป็นอันตรายนี้
การติดตั้งมัลแวร์
หลังจากที่ผู้ใช้เปิดเอกสารที่เป็นอันตรายโดยมีช่องโหว่บนระบบที่มีช่องโหว่ ตัวดาวน์โหลดพิเศษที่บรรจุแพ็คเกจโดยใช้ NSIS จะถูกดาวน์โหลดและดำเนินการที่นั่น ในช่วงเริ่มต้นของการทำงาน โปรแกรมจะตรวจสอบสภาพแวดล้อมของ Windows ว่ามีดีบักเกอร์อยู่ที่นั่นหรือทำงานในบริบทของเครื่องเสมือน นอกจากนี้ยังตรวจสอบการแปลของ Windows และดูว่าผู้ใช้ได้เยี่ยมชม URL ที่แสดงด้านล่างในตารางในเบราว์เซอร์หรือไม่ API ใช้สำหรับสิ่งนี้ ค้นหาก่อน/รายการแคชถัดไป และคีย์รีจิสทรี SoftwareMicrosoftInternet ExplorerTypedURLs
Bootloader จะตรวจสอบการมีอยู่ของแอพพลิเคชั่นต่อไปนี้ในระบบ
รายการกระบวนการต่างๆ นั้นน่าประทับใจอย่างแท้จริง และอย่างที่คุณเห็น ไม่เพียงแต่รวมถึงการสมัครทางธนาคารเท่านั้น ตัวอย่างเช่น ไฟล์ปฏิบัติการชื่อ “scardsvr.exe” หมายถึงซอฟต์แวร์สำหรับการทำงานกับสมาร์ทการ์ด (เครื่องอ่าน Microsoft SmartCard) โทรจันธนาคารนั้นมีความสามารถในการทำงานกับสมาร์ทการ์ด
ข้าว. 4. แผนผังทั่วไปของกระบวนการติดตั้งมัลแวร์
หากการตรวจสอบทั้งหมดเสร็จสมบูรณ์ ตัวโหลดจะดาวน์โหลดไฟล์พิเศษ (ไฟล์เก็บถาวร) จากเซิร์ฟเวอร์ระยะไกล ซึ่งมีโมดูลปฏิบัติการที่เป็นอันตรายทั้งหมดที่ผู้โจมตีใช้ เป็นที่น่าสนใจที่จะทราบว่า ขึ้นอยู่กับการดำเนินการตรวจสอบข้างต้น ไฟล์เก็บถาวรที่ดาวน์โหลดจากเซิร์ฟเวอร์ C&C ระยะไกลอาจแตกต่างกัน ไฟล์เก็บถาวรอาจเป็นหรืออาจไม่เป็นอันตราย หากไม่เป็นอันตราย ระบบจะติดตั้ง Windows Live Toolbar ให้กับผู้ใช้ เป็นไปได้มากว่าผู้โจมตีใช้กลอุบายที่คล้ายกันเพื่อหลอกลวงระบบวิเคราะห์ไฟล์อัตโนมัติและเครื่องเสมือนที่ใช้ไฟล์ที่น่าสงสัย
ไฟล์ที่ดาวน์โหลดโดยโปรแกรมดาวน์โหลด NSIS เป็นไฟล์เก็บถาวร 7z ที่มีโมดูลมัลแวร์ต่างๆ ภาพด้านล่างแสดงกระบวนการติดตั้งทั้งหมดของมัลแวร์นี้และโมดูลต่างๆ
ข้าว. 5. รูปแบบทั่วไปของวิธีการทำงานของมัลแวร์
แม้ว่าโมดูลที่โหลดจะให้บริการตามวัตถุประสงค์ที่แตกต่างกันสำหรับผู้โจมตี แต่ก็มีการบรรจุภัณฑ์ที่เหมือนกันและหลายโมดูลได้รับการลงนามด้วยใบรับรองดิจิทัลที่ถูกต้อง เราพบใบรับรองสี่ใบที่ผู้โจมตีใช้ตั้งแต่เริ่มต้นแคมเปญ หลังจากการร้องเรียนของเรา ใบรับรองเหล่านี้ถูกเพิกถอน เป็นที่น่าสนใจที่จะทราบว่าใบรับรองทั้งหมดออกให้กับบริษัทที่จดทะเบียนในมอสโก
ข้าว. 6. ใบรับรองดิจิทัลที่ใช้ในการลงนามมัลแวร์
ตารางต่อไปนี้ระบุใบรับรองดิจิทัลที่ผู้โจมตีใช้ในแคมเปญที่เป็นอันตรายนี้
โมดูลที่เป็นอันตรายเกือบทั้งหมดที่ผู้โจมตีใช้มีขั้นตอนการติดตั้งเหมือนกัน พวกเขากำลังขยายไฟล์เก็บถาวร 7zip ในตัวซึ่งมีการป้องกันด้วยรหัสผ่าน
ข้าว. 7. ส่วนของไฟล์แบตช์ install.cmd
ไฟล์แบตช์ .cmd มีหน้าที่ติดตั้งมัลแวร์บนระบบและเรียกใช้เครื่องมือโจมตีต่างๆ หากการดำเนินการจำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบที่ขาดหายไป โค้ดที่เป็นอันตรายจะใช้หลายวิธีในการรับสิทธิ์ดังกล่าว (ข้าม UAC) ในการใช้วิธีแรก จะใช้ไฟล์ปฏิบัติการสองไฟล์ที่เรียกว่า l1.exe และ cc1.exe ซึ่งเชี่ยวชาญในการข้าม UAC โดยใช้ ซอร์สโค้ดของคาร์เบอร์พ อีกวิธีหนึ่งใช้การใช้ประโยชน์จากช่องโหว่ CVE-2013-3660 โมดูลมัลแวร์แต่ละโมดูลที่ต้องการการยกระดับสิทธิ์มีทั้งเวอร์ชัน 32 บิตและ 64 บิตของช่องโหว่
ขณะติดตามแคมเปญนี้ เราได้วิเคราะห์เอกสารสำคัญหลายฉบับที่ผู้ดาวน์โหลดอัปโหลด เนื้อหาของไฟล์เก็บถาวรมีความหลากหลาย ซึ่งหมายความว่าผู้โจมตีสามารถปรับโมดูลที่เป็นอันตรายเพื่อวัตถุประสงค์ที่แตกต่างกันได้
การประนีประนอมของผู้ใช้
ดังที่เราได้กล่าวไว้ข้างต้น ผู้โจมตีใช้เครื่องมือพิเศษเพื่อโจมตีคอมพิวเตอร์ของผู้ใช้ เครื่องมือเหล่านี้ประกอบด้วยโปรแกรมที่มีชื่อไฟล์ปฏิบัติการ mimi.exe และ xtm.exe ช่วยให้ผู้โจมตีควบคุมคอมพิวเตอร์ของเหยื่อและเชี่ยวชาญในการปฏิบัติงานต่อไปนี้: การรับ/กู้คืนรหัสผ่านสำหรับบัญชี Windows การเปิดใช้งานบริการ RDP การสร้างบัญชีใหม่ในระบบปฏิบัติการ
ไฟล์ปฏิบัติการ mimi.exe รวมถึงเครื่องมือโอเพ่นซอร์สที่รู้จักกันดีในเวอร์ชันดัดแปลง . เครื่องมือนี้ช่วยให้คุณได้รับรหัสผ่านบัญชีผู้ใช้ Windows ผู้โจมตีได้ลบชิ้นส่วนออกจาก Mimikatz ที่รับผิดชอบในการโต้ตอบของผู้ใช้ รหัสปฏิบัติการยังได้รับการแก้ไข ดังนั้นเมื่อเปิดตัว Mimikatz จะทำงานด้วยคำสั่งสิทธิพิเศษ::debug และ sekurlsa:logonPasswords
ไฟล์ปฏิบัติการอีกไฟล์หนึ่งคือ xtm.exe เปิดตัวสคริปต์พิเศษที่เปิดใช้งานบริการ RDP ในระบบ พยายามสร้างบัญชีใหม่ในระบบปฏิบัติการ และยังเปลี่ยนการตั้งค่าระบบเพื่อให้ผู้ใช้หลายคนเชื่อมต่อกับคอมพิวเตอร์ที่ถูกบุกรุกผ่าน RDP พร้อมกัน แน่นอนว่าขั้นตอนเหล่านี้จำเป็นต่อการควบคุมระบบที่ถูกบุกรุกอย่างเต็มที่
ข้าว. 8. คำสั่งที่ดำเนินการโดย xtm.exe บนระบบ
ผู้โจมตีใช้ไฟล์ปฏิบัติการอื่นที่เรียกว่า impack.exe ซึ่งใช้เพื่อติดตั้งซอฟต์แวร์พิเศษบนระบบ ซอฟต์แวร์นี้เรียกว่า LiteManager และถูกใช้โดยผู้โจมตีเป็นประตูหลัง
ข้าว. 9. อินเตอร์เฟซ LiteManager
เมื่อติดตั้งบนระบบของผู้ใช้แล้ว LiteManager จะช่วยให้ผู้โจมตีสามารถเชื่อมต่อกับระบบนั้นได้โดยตรงและควบคุมระบบจากระยะไกล ซอฟต์แวร์นี้มีพารามิเตอร์บรรทัดคำสั่งพิเศษสำหรับการติดตั้งที่ซ่อนอยู่ การสร้างกฎไฟร์วอลล์พิเศษ และการเปิดโมดูล ผู้โจมตีใช้พารามิเตอร์ทั้งหมด
โมดูลสุดท้ายของแพ็คเกจมัลแวร์ที่ผู้โจมตีใช้คือโปรแกรมมัลแวร์ธนาคาร (นายธนาคาร) ที่มีชื่อไฟล์ปฏิบัติการ pn_pack.exe เธอเชี่ยวชาญในการสอดแนมผู้ใช้และรับผิดชอบในการโต้ตอบกับเซิร์ฟเวอร์ C&C นายธนาคารเปิดตัวโดยใช้ซอฟต์แวร์ Yandex Punto ที่ถูกกฎหมาย ผู้โจมตีใช้ Punto เพื่อเรียกใช้ไลบรารี DLL ที่เป็นอันตราย (วิธีการโหลด DLL Side-Loading) ตัวมัลแวร์เองสามารถทำหน้าที่ดังต่อไปนี้:
- ติดตามการกดแป้นพิมพ์และเนื้อหาคลิปบอร์ดสำหรับการส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกลในภายหลัง
- แสดงรายการสมาร์ทการ์ดทั้งหมดที่มีอยู่ในระบบ
- โต้ตอบกับเซิร์ฟเวอร์ C&C ระยะไกล
โมดูลมัลแวร์ซึ่งมีหน้าที่รับผิดชอบในการทำงานทั้งหมดนี้คือไลบรารี DLL ที่เข้ารหัส มันถูกถอดรหัสและโหลดลงในหน่วยความจำระหว่างการดำเนินการ Punto เพื่อดำเนินงานข้างต้น รหัสปฏิบัติการ DLL จะเริ่มต้นเธรดสามเธรด
การที่ผู้โจมตีเลือกใช้ซอฟต์แวร์ Punto เพื่อวัตถุประสงค์ของตนนั้นไม่ใช่เรื่องน่าแปลกใจ เพราะฟอรัมรัสเซียบางแห่งเปิดเผยข้อมูลโดยละเอียดเกี่ยวกับหัวข้อต่างๆ เช่น การใช้ข้อบกพร่องในซอฟต์แวร์ที่ถูกกฎหมายเพื่อประนีประนอมผู้ใช้
ไลบรารีที่เป็นอันตรายใช้อัลกอริธึม RC4 เพื่อเข้ารหัสสตริง รวมถึงระหว่างการโต้ตอบเครือข่ายกับเซิร์ฟเวอร์ C&C จะติดต่อกับเซิร์ฟเวอร์ทุก ๆ สองนาทีและส่งข้อมูลทั้งหมดที่รวบรวมบนระบบที่ถูกบุกรุกในช่วงเวลานี้ไปที่นั่น
ข้าว. 10. ส่วนของปฏิสัมพันธ์เครือข่ายระหว่างบอทและเซิร์ฟเวอร์
ด้านล่างนี้คือคำแนะนำเซิร์ฟเวอร์ C&C บางส่วนที่ไลบรารีสามารถรับได้
เพื่อตอบสนองต่อการรับคำแนะนำจากเซิร์ฟเวอร์ C&C มัลแวร์จะตอบกลับด้วยรหัสสถานะ เป็นที่น่าสนใจที่จะทราบว่าโมดูลนายธนาคารทั้งหมดที่เราวิเคราะห์ (โมดูลล่าสุดที่มีวันที่รวบรวมวันที่ 18 มกราคม) มีสตริง “TEST_BOTNET” ซึ่งจะถูกส่งไปในแต่ละข้อความไปยังเซิร์ฟเวอร์ C&C
ข้อสรุป
ในการประนีประนอมผู้ใช้ระดับองค์กร ผู้โจมตีในระยะแรกประนีประนอมพนักงานคนหนึ่งของบริษัทโดยการส่งข้อความฟิชชิ่งพร้อมการหาประโยชน์ ถัดไป เมื่อมัลแวร์ได้รับการติดตั้งบนระบบแล้ว พวกเขาจะใช้เครื่องมือซอฟต์แวร์ที่จะช่วยให้พวกเขาขยายอำนาจในระบบได้อย่างมากและทำงานเพิ่มเติมกับมัน: บุกรุกคอมพิวเตอร์เครื่องอื่นในเครือข่ายองค์กรและสอดแนมผู้ใช้ตลอดจน ธุรกรรมทางธนาคารที่เขาทำ
ที่มา: will.com