Buxgalterlarni kiberhujumga yo'naltirish uchun siz ular onlayn izlayotgan ish hujjatlaridan foydalanishingiz mumkin. Bu so'nggi bir necha oy ichida ma'lum orqa eshiklarni tarqatish orqali kiberguruhning taxminan qilgan ishi. и , shuningdek, kriptovalyutalarni o'g'irlash uchun shifrlovchilar va dasturiy ta'minot. Maqsadlarning aksariyati Rossiyada joylashgan. Hujum Yandex.Direct’da zararli reklama joylashtirish orqali amalga oshirilgan. Potentsial qurbonlar veb-saytga yo'naltirildi, u erda ulardan hujjat shablonini yashirgan zararli faylni yuklab olish so'raldi. Bizning ogohlantirishimizdan keyin Yandex zararli reklamani olib tashladi.
Ilgari Buhtrapning manba kodi internetga tarqalib ketgan, shuning uchun undan hamma foydalanishi mumkin. Bizda RTM kodining mavjudligi haqida hech qanday ma'lumot yo'q.
Ushbu postda tajovuzkorlar Yandex.Direct yordamida zararli dasturlarni qanday tarqatganliklari va uni GitHub’da joylashtirganliklarini aytib beramiz. Xabar zararli dasturning texnik tahlili bilan yakunlanadi.
Buhtrap va RTM biznesga qaytdi
Yayilish mexanizmi va qurbonlar
Jabrlanuvchilarga etkazilgan turli xil foydali yuklar umumiy tarqalish mexanizmiga ega. Hujumchilar tomonidan yaratilgan barcha zararli fayllar ikki xil GitHub omboriga joylashtirilgan.
Odatda, omborda tez-tez o'zgarib turadigan bitta yuklab olinadigan zararli fayl mavjud edi. GitHub sizga ombordagi o'zgarishlar tarixini ko'rish imkonini berganligi sababli, biz ma'lum bir vaqt ichida qanday zararli dasturlar tarqatilganini ko'rishimiz mumkin. Jabrlanuvchini zararli faylni yuklab olishga ishontirish uchun yuqoridagi rasmda ko'rsatilgan blanki-shabloni24[.]ru veb-saytidan foydalanilgan.
Sayt dizayni va zararli fayllarning barcha nomlari bitta kontseptsiyaga - shakllar, shablonlarga, shartnomalarga, namunalarga va boshqalarga amal qiladi. Buhtrap va RTM dasturlari o'tmishda buxgalterlarga qilingan hujumlarda allaqachon qo'llanilganligini hisobga olsak, biz yangi kampaniyadagi strategiya bir xil. Yagona savol - jabrlanuvchi tajovuzkorlar saytiga qanday kirgan.
INFEKTSION
Ushbu saytga kirgan kamida bir nechta potentsial qurbonlar zararli reklama tomonidan jalb qilingan. Quyida misol URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Havoladan ko‘rinib turibdiki, banner qonuniy bb.f2[.]kz buxgalteriya forumida joylashtirilgan. Shuni ta'kidlash kerakki, bannerlar turli saytlarda paydo bo'lgan, ularning barchasida bir xil kampaniya identifikatori (blanki_rsya) bo'lgan va aksariyati buxgalteriya hisobi yoki yuridik yordam xizmatlari bilan bog'liq. URL manzili potentsial jabrlanuvchi maqsadli hujumlar haqidagi farazimizni tasdiqlovchi “hisob-faktura shaklini yuklab olish” so‘rovidan foydalanganligini ko‘rsatadi. Quyida bannerlar paydo bo'lgan saytlar va tegishli qidiruv so'rovlari keltirilgan.
- hisob-faktura shaklini yuklab oling – bb.f2[.]kz
- Shartnoma namunasi - Ipopen[.]ru
- ariza shikoyat namunasi - 77metrov[.]ru
- kelishuv shakli - blank-dogovor-kupli-prodazhi[.]ru
- sudga ariza namunasi - zen.yandex[.]ru
- shikoyat namunasi - yurday[.]ru
- namunaviy shartnoma shakllari – Regforum[.]ru
- shartnoma shakli – assistentus[.]ru
- namunaviy kvartira shartnomasi - napravah[.]com
- huquqiy shartnomalar namunalari - avito[.]ru
blanki-shabloni24[.]ru sayti oddiy vizual baholashdan o'tish uchun tuzilgan bo'lishi mumkin. Odatda, GitHub-ga havolasi bo'lgan professional ko'rinishdagi saytga ishora qiluvchi reklama yomon narsaga o'xshamaydi. Bundan tashqari, tajovuzkorlar zararli fayllarni omborga faqat cheklangan muddatga, ehtimol, kampaniya davomida yuklagan. Ko'pincha GitHub omborida bo'sh zip arxivi yoki bo'sh EXE fayli mavjud edi. Shunday qilib, tajovuzkorlar Yandex.Direct orqali maxsus qidiruv so'rovlariga javoban kelgan buxgalterlar tashrif buyurgan saytlarda reklama tarqatishlari mumkin edi.
Keyinchalik, shu tarzda taqsimlangan turli xil foydali yuklarni ko'rib chiqaylik.
Yuk yukini tahlil qilish
Tarqatish xronologiyasi
Zararli kampaniya 2018 yil oktyabr oyi oxirida boshlangan va yozish paytida faol. Butun ombor GitHub-da ommaga ochiq bo'lganligi sababli, biz olti xil zararli dasturlar oilasini tarqatishning aniq vaqt jadvalini tuzdik (quyidagi rasmga qarang). Git tarixi bilan taqqoslash uchun ESET telemetriyasi tomonidan oʻlchangan banner havolasi qachon aniqlanganligini koʻrsatadigan qator qoʻshdik. Ko'rib turganingizdek, bu GitHub-da foydali yukning mavjudligi bilan yaxshi bog'liq. Fevral oyining oxiridagi nomuvofiqlikni bizda o'zgarishlar tarixining bir qismi yo'qligi bilan izohlash mumkin, chunki biz uni to'liq olishimizdan oldin ombor GitHub'dan olib tashlangan.
Shakl 1. Zararli dasturlarni tarqatish xronologiyasi.
Kodni imzolash sertifikatlari
Kampaniya bir nechta sertifikatlardan foydalangan. Ba'zilar bir nechta zararli dasturlar oilasi tomonidan imzolangan, bu esa turli xil namunalar bir xil kampaniyaga tegishli ekanligini ko'rsatadi. Maxfiy kalit mavjudligiga qaramay, operatorlar ikkilik fayllarni tizimli ravishda imzolamadilar va barcha namunalar uchun kalitdan foydalanmadilar. 2019-yil fevral oyining oxirida tajovuzkorlar shaxsiy kalitiga ega boʻlmagan Google sertifikatidan foydalanib, yaroqsiz imzolarni yaratishni boshladilar.
Kampaniyada ishtirok etgan barcha sertifikatlar va ular imzolagan zararli dasturlar oilalari quyidagi jadvalda keltirilgan.
Biz boshqa zararli dasturlar oilalari bilan aloqa o'rnatish uchun ushbu kod imzolash sertifikatlaridan ham foydalanganmiz. Aksariyat sertifikatlar uchun biz GitHub ombori orqali tarqatilmagan namunalarni topa olmadik. Biroq, botnetga tegishli zararli dasturlarga imzo chekish uchun TOV “MARIYA” sertifikatidan foydalanilgan , reklama dasturlari va konchilar. Ushbu zararli dastur ushbu kampaniya bilan bog'liq bo'lishi ehtimoldan yiroq emas. Ehtimol, sertifikat darknetda sotib olingan.
Win32/Filecoder.Buhtrap
Bizning e'tiborimizni tortgan birinchi komponent yangi kashf etilgan Win32/Filecoder.Buhtrap edi. Bu Delphi ikkilik fayli bo'lib, ba'zan paketlanadi. U asosan 2019 yil fevral-mart oylarida tarqatilgan. U ransomware dasturiga mos keladi - u mahalliy disklar va tarmoq papkalarini qidiradi va aniqlangan fayllarni shifrlaydi. U shifrlash kalitlarini yuborish uchun serverga murojaat qilmagani uchun buzilmasligi uchun Internetga ulanish shart emas. Buning o'rniga, u to'lov xabarining oxiriga "token" qo'shadi va operatorlar bilan bog'lanish uchun elektron pochta yoki Bitmessage dan foydalanishni taklif qiladi.
Iloji boricha ko'proq nozik manbalarni shifrlash uchun Filecoder.Buhtrap shifrlashga xalaqit berishi mumkin bo'lgan qimmatli ma'lumotlarni o'z ichiga olgan ochiq fayl ishlov beruvchilariga ega bo'lishi mumkin bo'lgan asosiy dasturiy ta'minotni o'chirish uchun mo'ljallangan tarmoqni ishga tushiradi. Maqsadli jarayonlar asosan ma'lumotlar bazasini boshqarish tizimlari (DBMS). Bundan tashqari, Filecoder.Buhtrap ma'lumotlarni tiklashni qiyinlashtirish uchun jurnal fayllari va zaxira nusxalarini o'chiradi. Buning uchun quyidagi ommaviy skriptni ishga tushiring.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap veb-saytga tashrif buyuruvchilar haqida ma'lumot to'plash uchun mo'ljallangan qonuniy onlayn IP Logger xizmatidan foydalanadi. Bu buyruq qatori mas'uliyati bo'lgan to'lov dasturi qurbonlarini kuzatish uchun mo'ljallangan:
mshta.exe "javascript:document.write('');"
Shifrlash uchun fayllar uchta istisno ro'yxatiga mos kelmasa tanlanadi. Birinchidan, quyidagi kengaytmali fayllar shifrlanmaydi: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys va. .bat. Ikkinchidan, to'liq yo'li quyidagi ro'yxatdagi katalog satrlarini o'z ichiga olgan barcha fayllar bundan mustasno.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Uchinchidan, ma'lum fayl nomlari ham shifrlashdan chiqarib tashlanadi, ular orasida to'lov xabarining fayl nomi ham bor. Ro'yxat quyida keltirilgan. Shubhasiz, bu istisnolarning barchasi mashinaning ishlashini ta'minlash uchun mo'ljallangan, ammo minimal harakatga ega.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Fayl shifrlash sxemasi
Amalga oshirilgandan so'ng, zararli dastur 512 bitli RSA kalit juftligini yaratadi. Shaxsiy ko'rsatkich (d) va modul (n) keyin qattiq kodlangan 2048 bitli ochiq kalit (ommaviy ko'rsatkich va modul), zlib-qadoqlangan va base64 kodli shifrlangan. Buning uchun javobgar kod 2-rasmda ko'rsatilgan.
Shakl 2. 512-bitli RSA kalit juftligini yaratish jarayonining Hex-Rays dekompilyatsiyasi natijasi.
Quyida to'lov xabariga biriktirilgan token bo'lgan yaratilgan shaxsiy kalitga ega oddiy matn misoli keltirilgan.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Hujumchilarning ochiq kaliti quyida keltirilgan.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Fayllar 128 bitli kalit bilan AES-256-CBC yordamida shifrlangan. Har bir shifrlangan fayl uchun yangi kalit va yangi ishga tushirish vektori yaratiladi. Asosiy ma'lumotlar shifrlangan faylning oxiriga qo'shiladi. Keling, shifrlangan fayl formatini ko'rib chiqaylik.
Shifrlangan fayllar quyidagi sarlavhaga ega:
VEGA sehrli qiymati qo'shilgan manba fayl ma'lumotlari birinchi 0x5000 baytgacha shifrlangan. Barcha shifrlash ma'lumotlari quyidagi tuzilishga ega faylga biriktirilgan:
- Fayl o'lchami belgisi faylning o'lchami 0x5000 baytdan katta ekanligini ko'rsatadigan belgini o'z ichiga oladi.
— AES kalit bloki = ZlibCompress(RSAEncrypt(AES kaliti + IV, yaratilgan RSA kalit juftligining ochiq kaliti))
- RSA kaliti blob = ZlibCompress (RSAEncrypt (holatli RSA shaxsiy kaliti, qattiq kodlangan RSA ochiq kaliti))
Win32/ClipBanker
Win32/ClipBanker - bu 2018 yil oktyabr oyining oxiridan dekabr oyining boshigacha vaqti-vaqti bilan tarqatilgan komponent. Uning vazifasi clipboard tarkibini kuzatish, u kriptovalyuta hamyonlari manzillarini izlaydi. Maqsadli hamyon manzilini aniqlab, ClipBanker uni operatorlarga tegishli deb hisoblangan manzil bilan almashtiradi. Biz tekshirgan namunalar qutiga solingan yoki buzilmagan. Xulq-atvorni maskalash uchun ishlatiladigan yagona mexanizm - bu string shifrlash. Operator hamyon manzillari RC4 yordamida shifrlangan. Maqsadli kriptovalyutalar - Bitcoin, Bitcoin cash, Dogecoin, Ethereum va Ripple.
Zararli dastur tajovuzkorlarning Bitcoin hamyonlariga tarqalayotgan davrda VTS-ga oz miqdorda yuborilgan, bu esa kampaniyaning muvaffaqiyatiga shubha uyg'otadi. Bundan tashqari, ushbu operatsiyalar umuman ClipBanker bilan bog'liqligini ko'rsatadigan hech qanday dalil yo'q.
Win32/RTM
Win32/RTM komponenti 2019-yil mart oyi boshida bir necha kun davomida tarqatildi. RTM - bu Delphi-da yozilgan, masofaviy bank tizimlariga qaratilgan troyan bankir. 2017 yilda ESET tadqiqotchilari e'lon qildi ushbu dasturning tavsifi hali ham dolzarbdir. 2019 yil yanvar oyida Palo Alto Networks ham chiqdi .
Buhtrap yuklagich
Bir muncha vaqt davomida GitHub-da oldingi Buhtrap vositalariga o'xshamaydigan yuklab oluvchi mavjud edi. ga aylanadi https://94.100.18[.]67/RSS.php?<some_id> keyingi bosqichni olish va uni to'g'ridan-to'g'ri xotiraga yuklash uchun. Ikkinchi bosqich kodining ikkita xatti-harakatini ajratib ko'rsatishimiz mumkin. Birinchi URLda RSS.php Buhtrap backdoordan toʻgʻridan-toʻgʻri oʻtdi - bu backdoor manba kodi sizib chiqqandan keyin mavjud boʻlganiga juda oʻxshaydi.
Qizig'i shundaki, biz Buhtrap backdoor bilan bir nechta kampaniyalarni ko'rmoqdamiz va ular turli operatorlar tomonidan boshqariladi. Bunday holda, asosiy farq shundaki, orqa eshik to'g'ridan-to'g'ri xotiraga yuklanadi va biz aytib o'tgan DLL-ni joylashtirish jarayoni bilan odatiy sxemadan foydalanmaydi. . Bundan tashqari, operatorlar C&C serveriga tarmoq trafigini shifrlash uchun ishlatiladigan RC4 kalitini o'zgartirdilar. Biz ko'rgan kampaniyalarning aksariyatida operatorlar bu kalitni o'zgartirishni bezovta qilishmadi.
Ikkinchi, murakkabroq xatti-harakatlar RSS.php URL manzili boshqa yuklovchiga uzatilganligi edi. Bu dinamik import jadvalini qayta tiklash kabi ba'zi bir chalkashliklarni amalga oshirdi. Bootloaderning maqsadi C&C serveriga murojaat qilishdir [.]com/api/F27F84EDA4D13B15/2, jurnallarni yuboring va javobni kuting. U javobni blob sifatida qayta ishlaydi, uni xotiraga yuklaydi va uni bajaradi. Ushbu yuklagichni bajarayotganda biz ko'rgan foydali yuk bir xil Buhtrap backdoor edi, ammo boshqa komponentlar ham bo'lishi mumkin.
Android/Spy.Banker
Qizig'i shundaki, GitHub omborida Android uchun komponent ham topilgan. U asosiy filialda atigi bir kun – 1-yilning 2018-noyabrida bo‘ldi. GitHub-da e'lon qilinganidan tashqari, ESET telemetriyasi ushbu zararli dastur tarqatilganligi haqida hech qanday dalil topmaydi.
Komponent Android ilovalar paketi (APK) sifatida joylashtirilgan. Bu juda xiralashgan. Zararli xatti-harakatlar APK-da joylashgan shifrlangan JAR-da yashiringan. Bu kalit yordamida RC4 bilan shifrlangan:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Xuddi shu kalit va algoritm satrlarni shifrlash uchun ishlatiladi. JAR joylashgan APK_ROOT + image/files. Faylning dastlabki 4 bayti shifrlangan JAR uzunligini o'z ichiga oladi, bu uzunlik maydonidan keyin darhol boshlanadi.
Faylning shifrini hal qilib, biz bu Anubis ekanligini aniqladik - ilgari Android uchun bankir. Zararli dastur quyidagi xususiyatlarga ega:
- mikrofonni yozib olish
- skrinshot olish
- GPS koordinatalarini olish
- keylogger
- qurilma ma'lumotlarini shifrlash va to'lov talabi
- spam yuborish
Qizig‘i shundaki, bankir boshqa C&C serverini olish uchun Twitter’dan zaxira aloqa kanali sifatida foydalangan. Biz tahlil qilgan namuna @JonesTrader hisobidan foydalangan, ammo tahlil vaqtida u allaqachon bloklangan edi.
Bankir Android qurilmasidagi maqsadli ilovalar ro'yxatini o'z ichiga oladi. Bu Sophos tadqiqotida olingan ro'yxatga qaraganda uzunroq. Ro'yxatda ko'plab bank ilovalari, Amazon va eBay kabi onlayn xarid dasturlari va kriptovalyuta xizmatlari mavjud.
MSIL/ClipBanker.IH
Ushbu kampaniyaning bir qismi sifatida tarqatilgan oxirgi komponent 2019-yil mart oyida paydo bo‘lgan .NET Windows-ning bajariladigan fayli edi. O'rganilgan versiyalarning aksariyati ConfuserEx v1.0.0 bilan paketlangan. ClipBanker singari, bu komponent ham clipboarddan foydalanadi. Uning maqsadi kriptovalyutalarning keng assortimenti, shuningdek, Steam-dagi takliflardir. Bundan tashqari, u Bitcoin shaxsiy WIF kalitini o'g'irlash uchun IP Logger xizmatidan foydalanadi.
Himoya mexanizmlari
ConfuserEx disk raskadrovka, demping va buzishning oldini olishda taqdim etadigan imtiyozlarga qo'shimcha ravishda, komponent antivirus mahsulotlari va virtual mashinalarni aniqlash qobiliyatini o'z ichiga oladi.
Virtual mashinada ishlashini tekshirish uchun zararli dastur BIOS ma'lumotlarini so'rash uchun o'rnatilgan Windows WMI buyruq qatoridan (WMIC) foydalanadi, xususan:
wmic bios
Keyin dastur buyruq chiqishini tahlil qiladi va kalit so'zlarni qidiradi: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Antivirus mahsulotlarini aniqlash uchun zararli dastur Windows Xavfsizlik Markaziga Windows boshqaruv asboblari (WMI) so'rovini yuboradi ManagementObjectSearcher API quyida ko'rsatilganidek. Base64 dan dekodlashdan so'ng qo'ng'iroq quyidagicha ko'rinadi:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Shakl 3. Antivirus mahsulotlarini aniqlash jarayoni.
Bundan tashqari, zararli dastur mavjudligini tekshiradi , clipboard hujumlaridan himoya qilish vositasi va agar ishlayotgan bo'lsa, ushbu jarayondagi barcha oqimlarni to'xtatib qo'yadi va shu bilan himoyani o'chiradi.
Qat'iylik
Biz o'rgangan zararli dastur versiyasi o'zidan nusxa oladi %APPDATA%googleupdater.exe va google katalogi uchun "yashirin" atributni o'rnatadi. Keyin u qiymatni o'zgartiradi SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows ro'yxatga olish kitobida va yo'lni qo'shadi updater.exe. Shunday qilib, zararli dastur foydalanuvchi har safar tizimga kirganida amalga oshiriladi.
Zararli xatti-harakatlar
ClipBanker kabi zararli dastur clipboard tarkibini kuzatib boradi va kriptovalyuta hamyon manzillarini qidiradi va topilsa, uni operator manzillaridan biri bilan almashtiradi. Quyida kodda topilgan narsalarga asoslangan maqsadli manzillar ro'yxati keltirilgan.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Har bir manzil turi uchun tegishli muntazam ifoda mavjud. STEAM_URL qiymati Steam tizimiga hujum qilish uchun ishlatiladi, buni buferda aniqlash uchun ishlatiladigan oddiy ifodadan ko'rish mumkin:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltratsiya kanali
Buferdagi manzillarni almashtirishdan tashqari, zararli dastur Bitcoin, Bitcoin Core va Electrum Bitcoin hamyonlarining shaxsiy WIF kalitlarini nishonga oladi. Dastur WIF shaxsiy kalitini olish uchun plogger.org dan eksfiltratsiya kanali sifatida foydalanadi. Buning uchun operatorlar quyida ko'rsatilganidek, User-Agent HTTP sarlavhasiga shaxsiy kalit ma'lumotlarini qo'shadilar.
Shakl 4. Chiqish ma'lumotlari bilan IP Logger konsoli.
Operatorlar hamyonlarni chiqarish uchun iplogger.org dan foydalanmagan. Ehtimol, ular maydondagi 255 belgi chegarasi tufayli boshqa usulga murojaat qilishgan User-AgentIP Logger veb-interfeysida ko'rsatiladi. Biz o'rgangan namunalarda boshqa chiqish serveri muhit o'zgaruvchisida saqlangan DiscordWebHook. Ajablanarlisi shundaki, bu muhit o'zgaruvchisi kodning biron bir joyiga tayinlanmagan. Bu shuni ko'rsatadiki, zararli dastur hali ham ishlab chiqilmoqda va o'zgaruvchi operatorning sinov mashinasiga tayinlangan.
Dastur ishlab chiqilayotganining yana bir belgisi bor. Ikkilik fayl ikkita iplogger.org URL manzilini o'z ichiga oladi va ma'lumotlar o'chirilganda ikkalasi ham so'raladi. Ushbu URL manzillaridan biriga so'rovda Referer maydonidagi qiymatdan oldin "DEV /" qo'yiladi. Biz ConfuserEx yordamida paketlanmagan versiyani ham topdik, bu URL uchun qabul qiluvchi DevFeedbackUrl deb nomlanadi. Atrof-muhit o'zgaruvchisi nomiga asoslanib, operatorlar kriptovalyuta hamyonlarini o'g'irlash uchun qonuniy Discord xizmati va uning veb-qidiruv tizimidan foydalanishni rejalashtirayotganiga ishonamiz.
xulosa
Ushbu kampaniya kiberhujumlarda qonuniy reklama xizmatlaridan foydalanishning namunasidir. Sxema rus tashkilotlarini nishonga oladi, ammo rus bo'lmagan xizmatlardan foydalangan holda bunday hujumni ko'rsak hayron bo'lmaymiz. Murosaga yo'l qo'ymaslik uchun foydalanuvchilar yuklab olgan dasturiy ta'minot manbasining obro'siga ishonishlari kerak.
Murosa ko'rsatkichlarining to'liq ro'yxati va MITER ATT&CK atributlari quyidagi manzilda mavjud .
Manba: www.habr.com