די RTM סייבער גרופּע ספּעשאַלייזיז אין גנבענען געלט פון רוסישע קאָמפּאַניעס

עס זענען פאראן עטליכע באקאנטע סייבער גרופעס וועלכע ספעציאליזירן זיך אין גנבענען געלט פון רוסישע פירמעס. מיר האָבן געזען אנפאלן ניצן זיכערהייט לופּכאָולז וואָס לאָזן אַקסעס צו די נעץ פון די ציל. אַמאָל זיי באַקומען אַקסעס, אַטאַקערז לערנען די נעץ סטרוקטור פון די אָרגאַניזאַציע און צעוויקלען זייער אייגענע מכשירים צו גאַנווענען געלט. א קלאַסיש בייַשפּיל פון דעם גאַנג איז די העקער גרופּעס בוהטראַפּ, קאָבאַלט און קאָרקאָוו.

די RTM גרופּע וואָס דער באַריכט פאָוקיסיז אויף איז טייל פון דעם גאַנג. עס ניצט ספּעשאַלי דיזיינד מאַלוואַרע געשריבן אין דעלפי, וואָס מיר וועלן קוקן אין מער דעטאַל אין די פאלגענדע סעקשאַנז. די ערשטע טראַסעס פון די מכשירים אין די ESET טעלעמעטרי סיסטעם זענען דיסקאַווערד אין די סוף פון 2015. די מאַנשאַפֿט לאָודז פאַרשידן נייַע מאַדזשולז אויף ינפעקטאַד סיסטעמען ווי דארף. די אטאקעס זענען געצילט אויף באנוצער פון ווייטע באנק סיסטעמען אין רוסלאנד און עטליכע ארומיקע לענדער.

1. צילן

די RTM קאמפאניע איז אַימעד צו פֿירמע ניצערס - דאָס איז קלאָר ווי דער טאָג פון די פּראַסעסאַז וואָס אַטאַקערז פּרובירן צו דעטעקט אין אַ קאַמפּראַמייזד סיסטעם. דער פאָקוס איז אויף אַקאַונטינג ווייכווארג פֿאַר ארבעטן מיט ווייַט באַנקינג סיסטעמען.

די רשימה פון פּראַסעסאַז פון אינטערעס צו RTM ריזעמבאַלז די קאָראַספּאַנדינג רשימה פון די בוהטראַפּ גרופּע, אָבער די גרופּעס האָבן פאַרשידענע ינפעקציע וועקטאָרס. אויב Buhtrap געוויינט שווינדל בלעטער מער אָפט, RTM געוויינט דרייוו-דורך אראפקאפיע אנפאלן (אַטאַקס אויף דעם בלעטערער אָדער זייַן קאַמפּאָונאַנץ) און ספּאַמינג דורך E- בריוו. לויט טעלעמעטרי דאַטן, די סאַקאָנע איז אַימעד צו רוסלאַנד און עטלעכע נירביי לענדער (אוקריינא, קאַזאַכסטאַן, טשעכיי, דייַטשלאַנד). אָבער, רעכט צו דער נוצן פון מאַסע פאַרשפּרייטונג מעקאַניזאַמז, דיטעקשאַן פון מאַלוואַרע אַרויס די ציל מקומות איז נישט חידוש.

די גאַנץ נומער פון מאַלוואַרע דיטעקשאַנז איז לעפיערעך קליין. אויף די אנדערע האַנט, די RTM קאמפאניע ניצט קאָמפּלעקס מגילה, וואָס ינדיקייץ אַז די אַטאַקס זענען העכסט טאַרגעטעד.

מיר האָבן דיסקאַווערד עטלעכע דעקאָו דאָקומענטן געניצט דורך RTM, אַרייַנגערעכנט ניט-עגזיסטאַנט קאַנטראַקץ, ינווויסיז אָדער שטייער אַקאַונטינג דאָקומענטן. די נאַטור פון די לורז, קאַמביינד מיט די טיפּ פון ווייכווארג טאַרגעטעד דורך די באַפאַלן, ינדיקייץ אַז די אַטאַקערז "אַרייַן" די נעטוואָרקס פון רוסישע קאָמפּאַניעס דורך די אַקאַונטינג אָפּטיילונג. ד י גרופ ע הא ט געהא ט לויט ן זעלביק ן סכעמע בוהטראַפּ אין 2014-2015

בעשאַס דער פאָרשונג, מיר זענען ביכולת צו ינטעראַקט מיט עטלעכע C&C סערווערס. מיר וועלן רשימה די פול רשימה פון קאַמאַנדז אין די פאלגענדע סעקשאַנז, אָבער איצט מיר קענען זאָגן אַז דער קליענט טראַנספערס דאַטן פון די קיילאָגגער גלייַך צו די אַטאַקינג סערווער, פֿון וואָס נאָך קאַמאַנדז זענען באקומען.

אָבער, די טעג ווען איר קען פשוט פאַרבינדן צו אַ באַפֿעל און קאָנטראָל סערווער און קלייַבן אַלע די דאַטן וואָס איר האָט אינטערעסירט זענען ניטאָ. מיר ריקריייטיד רעאַליסטיש קלאָץ טעקעס צו באַקומען עטלעכע באַטייַטיק קאַמאַנדז פון די סערווער.

דער ערשטער פון זיי איז אַ בקשה צו די באָט צו אַריבערפירן די טעקע 1c_to_kl.txt - אַ אַריבערפירן טעקע פון ​​די 1C: ענטערפּרייז 8 פּראָגראַם, די אויסזען פון וואָס איז אַקטיוולי מאָניטאָרעד דורך רטם. 1C ינטעראַקץ מיט ווייַט באַנקינג סיסטעמען דורך ופּלאָאַדינג דאַטן אויף אַוטגאָוינג פּיימאַנץ צו אַ טעקסט טעקע. דערנאָך, די טעקע איז געשיקט צו די ווייַט באַנקינג סיסטעם פֿאַר אָטאַמיישאַן און דורכפירונג פון די צאָלונג סדר.

דער טעקע כּולל צאָלונג דעטאַילס. אויב אַטאַקערז טוישן די אינפֿאָרמאַציע וועגן אַוטגאָוינג פּיימאַנץ, די אַריבערפירן וועט זיין געשיקט מיט פאַלש דעטאַילס צו די אַקאַונץ פון אַטאַקערז.

בעערעך אַ חודש נאָך ריקוועסטינג די טעקעס פֿון די באַפֿעלן און קאָנטראָל סערווער, מיר באמערקט אַז אַ נייַע פּלוגין, 1c_2_kl.dll, איז לאָודיד אויף די קאַמפּראַמייזד סיסטעם. דער מאָדולע (דלל) איז דיזיינד צו אויטאָמאַטיש אַנאַלייז די אראפקאפיע טעקע דורך דורכדרינג די אַקאַונטינג ווייכווארג פּראַסעסאַז. מיר וועלן באַשרייַבן עס אין דעטאַל אין די פאלגענדע סעקשאַנז.

ינטערעסטינגלי, FinCERT פון די באַנק פון רוסלאַנד אין די סוף פון 2016 ארויס אַ בוליטאַן ווארענונג וועגן סייבער קרימאַנאַלז ניצן 1c_to_kl.txt צופֿעליקער טעקעס. דעוועלאָפּערס פון 1C אויך וויסן וועגן דעם סכעמע זיי האָבן שוין געמאכט אַ באַאַמטער ויסזאָגונג און ליסטעד פּריקאָשאַנז.

אנדערע מאַדזשולז זענען אויך לאָודיד פֿון די באַפֿעלן סערווער, ספּעציעל VNC (זייַן 32 און 64-ביסל ווערסיעס). עס ריזעמבאַלז די VNC מאָדולע וואָס איז געווען פריער געניצט אין דרידעקס טראָדזשאַן אנפאלן. דער מאָדולע איז סאַפּאָוזאַדלי געניצט צו רימאָוטלי פאַרבינדן צו אַ ינפעקטאַד קאָמפּיוטער און דורכפירן אַ דיטיילד לערנען פון די סיסטעם. דערנאָך, די אַטאַקערז פּרובירן צו מאַך אַרום די נעץ, יקסטראַקטינג באַניצער פּאַסווערדז, קאַלעקטינג אינפֿאָרמאַציע און ינשורינג די קעסיידערדיק בייַזייַן פון מאַלוואַרע.

2. וועקטאָרס פון ינפעקציע

די פאלגענדע פיגור ווייזט די ינפעקציע וועקטאָרס דיטעקטאַד בעשאַס די לערנען צייט פון די קאמפאניע. די גרופּע ניצט אַ ברייט קייט פון וועקטאָרס, אָבער דער הויפּט דרייווינג אראפקאפיע אנפאלן און ספּאַם. די מכשירים זענען באַקוועם פֿאַר טאַרגעטעד אנפאלן, ווייַל אין דער ערשטער פאַל, אַטאַקערז קענען אויסקלייַבן זייטלעך באזוכט דורך פּאָטענציעל וויקטימס, און אין די רגע, זיי קענען שיקן E- בריוו מיט אַטאַטשמאַנץ גלייַך צו די געבעטן פירמע עמפּלוייז.

די מאַלוואַרע איז פונאנדערגעטיילט דורך קייפל טשאַנאַלז, אַרייַנגערעכנט RIG און Sundown עקספּלויט קיץ אָדער ספּאַם מיילינגז, וואָס ינדיקייץ קאַנעקשאַנז צווישן די אַטאַקערז און אנדערע סייבעראַטטאַקערז וואָס פאָרשלאָגן די סערוויסעס.

2.1. ווי זענען RTM און Buhtrap שייַכות?

די RTM קאמפאניע איז זייער ענלעך צו Buhtrap. די נאַטירלעך קשיא איז: ווי זענען זיי שייַכות צו יעדער אנדערער?

אין סעפטעמבער 2016, מיר באמערקט אַז אַ RTM מוסטער איז פונאנדערגעטיילט מיט די Buhtrap ופּלאָאַדער. אַדדיטיאָנאַללי, מיר געפֿונען צוויי דיגיטאַל סערטיפיקאַץ געניצט אין Buhtrap און RTM.

דער ערשטער, אַלעדזשאַדלי ארויס צו די פירמע DNSTER-M, איז געניצט צו דיגיטאַללי צייכן די צווייטע דעלפי פאָרעם (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) און די Buhtrap DLL (SHA-1: 1).

די צווייטע, ארויס צו Bit-Tredj, איז גענוצט צו צייכן בוהטראַפּ לאָודערז (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 און B74F71560E48488D2153AE2FB51207A0AC), ווי אויך אראפקאפיע און אראפקאפיע קאַמפּאָונאַנץ.

RTM אָפּערייטערז נוצן סערטיפיקאַץ וואָס זענען פּראָסט פֿאַר אנדערע מאַלוואַרע פאַמיליעס, אָבער זיי אויך האָבן אַ יינציק באַווייַזן. לויט ESET טעלעמעטרי, עס איז ארויס צו קיט-סד און איז בלויז געניצט צו צייכן עטלעכע RTM מאַלוואַרע (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).

RTM ניצט די זעלבע לאָודער ווי Buhtrap, RTM קאַמפּאָונאַנץ זענען לאָודיד פֿון די Buhtrap ינפראַסטראַקטשער, אַזוי די גרופּעס האָבן ענלעך נעץ ינדיקאַטאָרס. אָבער, לויט אונדזער עסטאַמאַץ, RTM און Buhtrap זענען פאַרשידענע גרופּעס, לפּחות ווייַל RTM איז פונאנדערגעטיילט אין פאַרשידענע וועגן (ניט בלויז ניצן אַ "פרעמד" דאָוונלאָאַדער).

טראָץ דעם, העקער גרופּעס נוצן ענלעך אַפּערייטינג פּרינציפּן. זיי צילן געשעפטן ניצן אַקאַונטינג ווייכווארג, סימילאַרלי קאַלעקטינג סיסטעם אינפֿאָרמאַציע, זוכן פֿאַר סמאַרט קאַרטל לייענער און דיפּלייינג אַ קייט פון בייזע מכשירים צו שפּיאָן אויף וויקטימס.

3. עוואַלושאַן

אין דעם אָפּטיילונג, מיר וועלן קוקן אין די פאַרשידענע ווערסיעס פון מאַלוואַרע געפֿונען בעשאַס דעם לערנען.

3.1. ווערסיע

RTM סטאָרז קאַנפיגיעריישאַן דאַטן אין אַ רעגיסטרי אָפּטיילונג, די מערסט טשיקאַווע טייל איז באָטנעט פּרעפיקס. א רשימה פון אַלע די וואַלועס וואָס מיר האָבן געזען אין די סאַמפּאַלז מיר געלערנט איז דערלאנגט אין די טיש אונטן.

עס איז מעגלעך אַז די וואַלועס קען זיין געוויינט צו רעקאָרדירן מאַלוואַרע ווערסיעס. אָבער, מיר האָבן נישט באמערקט פיל חילוק צווישן ווערסיעס אַזאַ ווי ביט2 און ביט3, 0.1.6.4 און 0.1.6.6. דערצו, איינער פון די פּרעפיקסיז איז געווען אַרום זינט די אָנהייב און האט יוואַלווד פון אַ טיפּיש C&C פעלד צו אַ .ביט פעלד, ווי וועט זיין געוויזן אונטן.

3.2. פּלאַן

מיט טעלעמעטרי דאַטן, מיר באשאפן אַ גראַפיק פון די פּאַסירונג פון סאַמפּאַלז.

4. טעכניש אַנאַליסיס

אין דעם אָפּטיילונג, מיר וועלן באַשרייַבן די הויפּט פאַנגקשאַנז פון די RTM באַנקינג טראָדזשאַן, אַרייַנגערעכנט קעגנשטעל מעקאַניזאַמז, זייַן אייגענע ווערסיע פון ​​די RC4 אַלגערידאַם, נעץ פּראָטאָקאָל, ספּייינג פאַנגקשאַנאַליטי און עטלעכע אנדערע פֿעיִקייטן. אין באַזונדער, מיר וועלן פאָקוס אויף SHA-1 סאַמפּאַלז AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 און 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.

4.1. ייַנמאָנטירונג און שפּאָרן

4.1.1. ימפּלעמענטאַטיאָן

די רטם האַרץ איז אַ דלל, די ביבליאָטעק איז לאָודיד אויף דיסק ניצן. עקסע. די עקסעקוטאַבלע טעקע איז יוזשאַוואַלי פּאַקידזשד און כּולל דלל קאָד. אַמאָל לאָנטשט, עס עקסטראַקט די DLL און לויפט עס מיט די פאלגענדע באַפֿעל:

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2. דלל

די הויפּט דלל איז שטענדיק לאָודיד צו דיסק ווי winlogon.lnk אין די % PROGRAMDATA% Winlogon טעקע. דער טעקע געשפּרייט איז יוזשאַוואַלי פארבונדן מיט אַ דורכוועג, אָבער די טעקע איז פאקטיש אַ דלל געשריבן אין דעלפי, געהייסן קאָרע.דלל דורך די דעוועלאָפּער, ווי געוויזן אין די בילד אונטן.

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

אַמאָל לאָנטשט, די טראָדזשאַן אַקטאַווייץ זייַן קעגנשטעל מעקאַניזאַם. דאָס קען זיין געטאן אין צוויי פאַרשידענע וועגן, דיפּענדינג אויף די פּריווילאַדזשאַז פון די קאָרבן אין די סיסטעם. אויב איר האָט אַדמיניסטראַטאָר רעכט, די טראָדזשאַן מוסיף אַ Windows Update פּאָזיציע צו די HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun רעגיסטרי. די קאַמאַנדז קאַנטיינד אין Windows Update וועט לויפן אין די אָנהייב פון דער באַניצער ס סעסיע.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

די טראָדזשאַן אויך פרוווט צו לייגן אַ אַרבעט צו די Windows טאַסק סטשעדולער. די אַרבעט וועט קאַטער די winlogon.lnk דלל מיט די זעלבע פּאַראַמעטערס ווי אויבן. רעגולער באַניצער רעכט לאָזן די טראָדזשאַן צו לייגן אַ Windows Update פּאָזיציע מיט די זעלבע דאַטן צו די HKCUSoftwareMicrosoftWindowsCurrentVersionRun רעגיסטרי:

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. מאַדאַפייד RC4 אַלגערידאַם

טראָץ זיין באַוווסט שאָרטקאָמינגס, די RC4 אַלגערידאַם איז קעסיידער געניצט דורך מאַלוואַרע מחברים. אָבער, די קריייטערז פון RTM מאַדאַפייד עס אַ ביסל, מיסטאָמע צו מאַכן די אַרבעט פון ווירוס אַנאַליס מער שווער. א מאַדאַפייד ווערסיע פון ​​RC4 איז וויידלי געניצט אין בייזע RTM מכשירים צו ענקריפּט סטרינגס, נעץ דאַטן, קאַנפיגיעריישאַן און מאַדזשולז.

4.2.1. דיפפערענסעס

דער אָריגינעל RC4 אַלגערידאַם כולל צוויי סטאַגעס: s-בלאָק יניטיאַליזאַטיאָן (אַקאַ קסאַ - שליסל-סקעדזשולינג אַלגערידאַם) און פּסעוודאָ-ראַנדאָם סיקוואַנס דור (PRGA - פּסעוודאָ-ראַנדאָם גענעראַטיאָן אַלגערידאַם). דער ערשטער בינע ינוואַלווז יניטיאַליזינג די s-באָקס ניצן די שליסל, און אין די רגע בינע די מקור טעקסט איז פּראַסעסט ניצן די s-באָקס פֿאַר ענקריפּשאַן.

די RTM מחברים צוגעגעבן אַ ינטערמידייט שריט צווישן s-באָקס יניטיאַליזאַטיאָן און ענקריפּשאַן. דער נאָך שליסל איז וועריאַבאַל און איז באַשטימט אין דער זעלביקער צייט ווי די דאַטן צו זיין ינקריפּטיד און דעקריפּטיד. די פֿונקציע וואָס פּערפאָרמז דעם נאָך שריט איז געוויזן אין די פיגור אונטן.

4.2.2. שטריקל ענקריפּשאַן

אין ערשטער בליק, עס זענען עטלעכע ליינעוודיק שורות אין די הויפּט דלל. די רעשט זענען ינקריפּטיד מיט די אַלגערידאַם דיסקרייבד אויבן, די סטרוקטור פון וואָס איז געוויזן אין די פאלגענדע פיגור. מיר געפֿונען מער ווי 25 פאַרשידענע RC4 שליסלען פֿאַר שטריקל ענקריפּשאַן אין די אַנאַלייזד סאַמפּאַלז. די XOR שליסל איז אַנדערש פֿאַר יעדער רודערן. די ווערט פון די נומעריק פעלד סעפּערייטינג שורות איז שטענדיק 0xFFFFFFFF.

אין די אָנהייב פון דורכפירונג, RTM דעקריפּט די סטרינגס אין אַ גלאבאלע בייַטעוודיק. ווען נייטיק צו אַקסעס אַ שטריקל, די טראָדזשאַן קאַלקיאַלייץ דינאַמיקאַללי די אַדרעס פון די דעקריפּטיד סטרינגס באזירט אויף די באַזע אַדרעס און פאָטאָ.

די סטרינגס אַנטהאַלטן טשיקאַווע אינפֿאָרמאַציע וועגן די פאַנגקשאַנז פון די מאַלוואַרע. עטלעכע ביישפּיל סטרינגס זענען צוגעשטעלט אין אָפּטיילונג 6.8.

4.3. נעץ

די וועג RTM מאַלוואַרע קאָנטאַקט די C&C סערווער וועריז פון ווערסיע צו ווערסיע. די ערשטע מאָדיפיקאַטיאָנס (אקטאבער 2015 - אפריל 2016) געוויינט טראדיציאנעלן פעלד נעמען צוזאמען מיט אַ RSS קאָרמען אויף livejournal.com צו דערהייַנטיקן די רשימה פון קאַמאַנדז.

זינט אפריל 2016, מיר האָבן געזען אַ יבעררוק צו .ביט דאָומיינז אין טעלעמעטרי דאַטן. דאָס איז באשטעטיקט דורך די פעלד רעגיסטראַציע טאָג - דער ערשטער RTM פעלד fde05d0573da.bit איז רעגיסטרירט אויף 13 מערץ 2016.

אַלע די URL ס וואָס מיר האָבן געזען בשעת מאָניטאָרינג די קאמפאניע האט אַ פּראָסט דרך: /r/z.php. דאָס איז גאַנץ ומגעוויינטלעך און עס וועט העלפֿן צו ידענטיפיצירן RTM ריקוועס אין נעץ פלאָוז.

4.3.1. קאַנאַל פֿאַר קאַמאַנדז און קאָנטראָל

לעגאַט ביישפילן געניצט דעם קאַנאַל צו דערהייַנטיקן זייער רשימה פון באַפֿעלן און קאָנטראָל סערווערס. האָסטינג איז ליגן ביי livejournal.com, אין דער צייט פון שרייבן דעם באַריכט עס איז געבליבן אויף די URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.

ליוועדזשורנאַל איז אַ רוסיש-אמעריקאנער פירמע וואָס גיט אַ בלאָגגינג פּלאַטפאָרמע. RTM אָפּערייטערז שאַפֿן אַ LJ בלאָג אין וואָס זיי פּאָסטן אַן אַרטיקל מיט קאָדעד קאַמאַנדז - זען סקרעענשאָט.

באַפֿעלן און קאָנטראָל שורות זענען קאָדעד מיט אַ מאַדאַפייד RC4 אַלגערידאַם (אָפּטיילונג 4.2). די קראַנט ווערסיע (נאוועמבער 2016) פון דעם קאַנאַל כּולל די פאלגענדע באַפֿעלן און קאָנטראָל סערווער אַדרעסעס:

• hxxp://cainmoon(.)net/r/z.php
• hxxp://rtm(.)dev/0-3/z.php
• hxxp://vpntap(.)top/r/z.php

4.3.2. .ביט דאָומיינז

אין די לעצטע RTM סאַמפּאַלז, מחברים פאַרבינדן צו C&C דאָומיינז ניצן די .bit TLD שפּיץ-מדרגה פעלד. עס איז נישט אויף די ICANN (Domain Name and Internet Corporation) רשימה פון שפּיץ-מדרגה דאָומיינז. אַנשטאָט, עס ניצט די Namecoin סיסטעם, וואָס איז געבויט אויף שפּיץ פון ביטקאָין טעכנאָלאָגיע. מאַלוואַרע מחברים טאָן ניט אָפט נוצן די .bit TLD פֿאַר זייער דאָומיינז, כאָטש אַ ביישפּיל פון אַזאַ נוצן איז פריער באמערקט אין אַ ווערסיע פון ​​די Necurs באָטנעט.

ניט ענלעך ביטקאָין, ניצערס פון די פונאנדערגעטיילט Namecoin דאַטאַבייס האָבן די פיייקייט צו ראַטעווען דאַטן. די הויפּט אַפּלאַקיישאַן פון דעם שטריך איז די .ביט שפּיץ-מדרגה פעלד. איר קענען רעגיסטרירן דאָומיינז וואָס וועט זיין סטאָרד אין אַ פונאנדערגעטיילט דאַטאַבייס. די קאָראַספּאַנדינג איינסן אין די דאַטאַבייס אַנטהאַלטן IP ווענדט ריזאַלווד דורך די פעלד. דעם טלד איז "צענזור-קעגנשטעליק" ווייַל בלויז דער רעגיסטראַנט קענען טוישן די האַכלאָטע פון ​​די .ביט פעלד. דעם מיטל אַז עס איז פיל מער שווער צו האַלטן אַ בייזע פעלד ניצן דעם טיפּ פון TLD.

די RTM Trojan טוט נישט ימבעד די ווייכווארג נייטיק צו לייענען די פונאנדערגעטיילט נאַמעקאָין דאַטאַבייס. עס ניצט הויפט דנס סערווערס אַזאַ ווי dns.dot-bit.org אָדער OpenNic סערווערס צו האַלטן .ביט דאָומיינז. דעריבער, עס האט די זעלבע געווער ווי דנס סערווערס. מיר באמערקט אַז עטלעכע מאַנשאַפֿט דאָומיינז זענען ניט מער דיטעקטאַד נאָך דערמאנט אין אַ בלאָג פּאָסטן.

אן אנדער מייַלע פון ​​די .bit TLD פֿאַר כאַקערז איז פּרייַז. צו פאַרשרייַבן אַ פעלד, אָפּערייטערז דאַרפֿן צו צאָלן בלויז 0,01 NK, וואָס קאָראַספּאַנדז צו $ 0,00185 (ווי פון 5 דעצעמבער 2016). פֿאַר פאַרגלייַך, domain.com קאָס בייַ מינדסטער $ 10.

4.3.3. פּראָטאָקאָל

צו יבערגעבן מיט די באַפֿעל און קאָנטראָל סערווער, RTM ניצט HTTP POST ריקוועס מיט דאַטן פאָרמאַטטעד מיט אַ מנהג פּראָטאָקאָל. דער דרך ווערט איז שטענדיק /r/z.php; מאָזיללאַ/5.0 באַניצער אַגענט (קאַמפּאַטאַבאַל; MSIE 9.0; Windows NT 6.1; Trident/5.0). אין ריקוועס צו די סערווער, די דאַטן זענען פאָרמאַטטעד ווי גייט, ווו די פאָטאָ וואַלועס זענען אויסגעדריקט אין ביטעס:

ביטעס 0 צו 6 זענען נישט קאָדעד; ביטעס סטאַרטינג פון 6 זענען ענקאָודיד מיט אַ מאַדאַפייד RC4 אַלגערידאַם. די סטרוקטור פון די C&C ענטפער פּאַקאַט איז סימפּלער. ביטעס זענען ענקאָודיד פון 4 צו פּאַקאַט גרייס.

די רשימה פון מעגלעך וואַלועס פון קאַמף בייט איז דערלאנגט אין די טיש אונטן:

די מאַלוואַרע שטענדיק קאַלקיאַלייץ די CRC32 פון די דעקריפּטיד דאַטן און קאַמפּערז עס מיט וואָס איז פאָרשטעלן אין די פּאַקאַט. אויב זיי אַנדערש, די טראָדזשאַן טראפנס די פּאַקאַט.
די נאָך דאַטן קען אַנטהאַלטן פאַרשידן אַבדזשעקץ, אַרייַנגערעכנט אַ PE טעקע, אַ טעקע צו זוכן אין דער טעקע סיסטעם, אָדער נייַע באַפֿעל URL ס.

4.3.4. טאַפליע

מיר באמערקט אַז RTM ניצט אַ טאַפליע אויף C&C סערווערס. סקרעענשאָט אונטן:

4.4. כאַראַקטעריסטיש צייכן

רטם איז אַ טיפּיש באַנקינג טראָדזשאַן. עס איז קיין יבערראַשן אַז אָפּערייטערז ווילן אינפֿאָרמאַציע וועגן די קאָרבן ס סיסטעם. אויף די איין האַנט, די באָט קאַלעקץ אַלגעמיינע אינפֿאָרמאַציע וועגן די אַס. אויף די אנדערע האַנט, עס געפינט אויס צי די קאַמפּראַמייזד סיסטעם כּולל אַטריביוץ פֿאַרבונדן מיט רוסיש ווייַט באַנקינג סיסטעמען.

4.4.1. אַלגעמיינע אינפֿאָרמאַציע

ווען מאַלוואַרע איז אינסטאַלירן אָדער לאָנטשט נאָך אַ רעבאָאָט, אַ באַריכט איז געשיקט צו די באַפֿעל און קאָנטראָל סערווער מיט גענעראַל אינפֿאָרמאַציע אַרייַנגערעכנט:

• צייַט זאָנע;
• פעליקייַט סיסטעם שפּראַך;
• אָטערייזד באַניצער קראַדענטשאַלז;
• פּראַסעס אָרנטלעכקייַט מדרגה;
• נאמען;
• קאָמפּיוטער נאָמען;
• OS ווערסיע;
• נאָך אינסטאַלירן מאַדזשולז;
• אינסטאַלירן אַנטיווירוס פּראָגראַם;
• רשימה פון קלוג קאָרט לייענער.

4.4.2 ווייַט באַנקינג סיסטעם

א טיפּיש טראָדזשאַן ציל איז אַ ווייַט באַנקינג סיסטעם, און RTM איז קיין ויסנעם. איינער פון די מאַדזשולז פון די פּראָגראַם איז גערופן TBdo, וואָס פּערפאָרמז פאַרשידן טאַסקס, אַרייַנגערעכנט סקאַנינג דיסקס און בראַוזינג געשיכטע.

דורך סקאַנינג די דיסק, די טראָדזשאַן טשעקס צי באַנקינג ווייכווארג איז אינסטאַלירן אויף די מאַשין. די פול רשימה פון ציל מגילה איז אין די טיש אונטן. נאָך דיטעקטאַד אַ טעקע פון ​​אינטערעס, די פּראָגראַם סענדז אינפֿאָרמאַציע צו די באַפֿעל סערווער. די ווייַטער אַקשאַנז אָפענגען אויף די לאָגיק ספּעסיפיעד דורך די באַפֿעל צענטער (C&C) אַלגערידאַמז.

RTM אויך זוכט פֿאַר URL פּאַטערנז אין דיין בלעטערער געשיכטע און עפענען טאַבס. אין אַדישאַן, די פּראָגראַם יגזאַמאַנז די נוצן פון FindNextUrlCacheEntryA און FindFirstUrlCacheEntryA פאַנגקשאַנז, און אויך טשעק יעדער פּאָזיציע צו גלייַכן די URL צו איינער פון די פאלגענדע פּאַטערנז:

נאָך דיטעקטאַד עפענען טאַבס, די טראָדזשאַן קאָנטאַקט Internet Explorer אָדער Firefox דורך די דינאַמיש דאַטאַ עקסטשאַנגע (DDE) מעקאַניזאַם צו קאָנטראָלירן צי די קוויטל שוועבעלעך צו דעם מוסטער.

קאָנטראָלירונג דיין בראַוזינג געשיכטע און עפענען טאַבס איז דורכגעקאָכט אין אַ WHILE שלייף (אַ שלייף מיט אַ פּריקאַנדישאַן) מיט אַ 1 רגע ברעכן צווישן טשעקס. אנדערע דאַטן וואָס זענען מאָניטאָרעד אין פאַקטיש צייט וועט זיין דיסקאַסט אין אָפּטיילונג 4.5.

אויב אַ מוסטער איז געפֿונען, די פּראָגראַם ריפּאָרץ דעם צו די באַפֿעל סערווער ניצן אַ רשימה פון סטרינגס פון די פאלגענדע טיש:

4.5 מאָניטאָרינג

בשעת די טראָדזשאַן איז פליסנדיק, אינפֿאָרמאַציע וועגן די כאַראַקטעריסטיש פֿעיִקייטן פון די ינפעקטאַד סיסטעם (אַרייַנגערעכנט אינפֿאָרמאַציע וועגן דעם בייַזייַן פון באַנקינג ווייכווארג) איז געשיקט צו די באַפֿעל און קאָנטראָל סערווער. פינגערפּרינטינג אַקערז ווען RTM ערשטער לויפט די מאָניטאָרינג סיסטעם מיד נאָך די ערשט אַס יבערקוקן.

4.5.1. ווייַט באַנקינג

די TBdo מאָדולע איז אויך פאַראַנטוואָרטלעך פֿאַר מאָניטאָרינג באַנקינג-פֿאַרבונדענע פּראַסעסאַז. עס ניצט דינאַמיש דאַטן וועקסל צו קאָנטראָלירן טאַבס אין Firefox און Internet Explorer בעשאַס דער ערשט יבערקוקן. אן אנדער TShell מאָדולע איז געניצט צו מאָניטאָר באַפֿעלן פֿענצטער (Internet Explorer אָדער File Explorer).

דער מאָדולע ניצט די קאַם ינטערפייסיז IShellWindows, iWebBrowser, DWebBrowserEvents2 און IConnectionPointContainer צו מאָניטאָר פֿענצטער. ווען אַ באַניצער נאַוויגירן צו אַ נייַע וועבזייטל, די מאַלוואַרע הערות דאָס. דערנאָך קאַמפּערז די URL פון די בלאַט מיט די אויבן פּאַטערנז. נאָך דיטעקטאַד אַ גלייַכן, די טראָדזשאַן נעמט זעקס קאָנסעקוטיווע סקרעענשאָץ מיט אַ מעהאַלעך פון 5 סעקונדעס און סענדז זיי צו די C&S באַפֿעלן סערווער. דער פּראָגראַם אויך טשעק עטלעכע פֿענצטער נעמען שייַכות צו באַנקינג ווייכווארג - די פול רשימה איז אונטן:

4.5.2. סמאַרט קאָרט

RTM אַלאַוז איר צו מאָניטאָר סמאַרט קאַרטל לייענער פארבונדן צו ינפעקטאַד קאָמפּיוטערס. די דעוויסעס זענען געניצט אין עטלעכע לענדער צו שאָלעמ מאַכן צאָלונג אָרדערס. אויב דעם טיפּ פון מיטל איז אַטאַטשט צו אַ קאָמפּיוטער, עס קען אָנווייַזן צו אַ טראָדזשאַן אַז די מאַשין איז געניצט פֿאַר באַנקינג טראַנזאַקשאַנז.

ניט ענלעך אנדערע באַנקינג טראָדזשאַנס, RTM קען נישט ינטעראַקט מיט אַזאַ קלוג קאַרדס. טאָמער די פאַנגקשאַנאַליטי איז אַרייַנגערעכנט אין אַן נאָך מאָדולע וואָס מיר האָבן נישט געזען נאָך.

4.5.3. קיילאָגגער

אַ וויכטיק טייל פון מאָניטאָרינג אַ ינפעקטאַד פּיסי איז קאַפּטשערינג קיסטראָוקס. עס מיינט אַז די RTM דעוועלאָפּערס זענען נישט פעלנדיק קיין אינפֿאָרמאַציע, ווייַל זיי מאָניטאָר ניט בלויז רעגולער שליסלען, אָבער אויך די ווירטואַל קלאַוויאַטור און קליפּבאָרד.

צו טאָן דאָס, נוצן די SetWindowsHookExA פֿונקציע. אַטאַקערז קלאָץ די קיז געדריקט אָדער די שליסלען קאָראַספּאַנדינג צו די ווירטואַל קלאַוויאַטור, צוזאמען מיט די נאָמען און דאַטע פון ​​די פּראָגראַם. דער באַפער איז דערנאָך געשיקט צו די C&C באַפֿעלן סערווער.

די SetClipboardViewer פונקציע איז געניצט צו ינטערסעפּט די קליפּבאָרד. כאַקערז קלאָץ די אינהאַלט פון די קליפּבאָרד ווען די דאַטן זענען טעקסט. דער נאָמען און דאַטע זענען אויך לאָגד איידער די באַפער איז געשיקט צו די סערווער.

4.5.4. סקרעענשאָץ

אן אנדער RTM פונקציע איז סקרעענשאָט ינטערסעפּשאַן. דער שטריך איז געווענדט ווען די פֿענצטער מאָניטאָרינג מאָדולע דיטעקץ אַ פּלאַץ אָדער באַנקינג ווייכווארג פון אינטערעס. סקרעענשאָץ זענען גענומען מיט אַ ביבליאָטעק פון גראַפיק בילדער און טראַנספערד צו די באַפֿעל סערווער.

4.6. ונינסטאַללאַטיאָן

די C&C סערווער קענען האַלטן די מאַלוואַרע פון ​​פליסנדיק און ריין דיין קאָמפּיוטער. דער באַפֿעל אַלאַוז איר צו ויסמעקן טעקעס און רעגיסטרי איינסן באשאפן בשעת RTM איז פליסנדיק. דער דלל איז דעמאָלט געניצט צו באַזייַטיקן די מאַלוואַרע און די ווינלאָגאָן טעקע, נאָך וואָס די באַפֿעל פאַרמאַכן די קאָמפּיוטער. ווי געוויזן אין די בילד אונטן, די דלל איז אַוועקגענומען דורך דעוועלאָפּערס ניצן erase.dll.

דער סערווער קענען שיקן די טראָדזשאַן אַ דעסטרוקטיווע נעם אַוועק-שלאָס באַפֿעל. אין דעם פאַל, אויב איר האָט אַדמיניסטראַטאָר רעכט, RTM וועט ויסמעקן די MBR שטיוול סעקטאָר אויף די שווער פאָר. אויב דאָס קען נישט אַרבעטן, די טראָדזשאַן וועט פּרובירן צו יבעררוק די MBR שטיוול סעקטאָר צו אַ טראַפ סעקטאָר - דער קאָמפּיוטער וועט נישט קענען צו שטיוול די אַס נאָך שאַטדאַון. דאָס קען פירן צו אַ גאַנץ ריינסטאַלמאַנט פון די אַס, וואָס מיטל די צעשטערונג פון זאָגן.

אָן אַדמיניסטראַטאָר פּריווילאַדזשאַז, די מאַלוואַרע שרייבט אַן. עקסע קאָדעד אין די אַנדערלייינג רטם דלל. די עקסעקוטאַבלע עקסאַקיוץ די קאָד דארף צו פאַרמאַכן די קאָמפּיוטער און רעדזשיסטערז די מאָדולע אין די HKCUCurrentVersionRun רעגיסטרי שליסל. יעדער מאָל דער באַניצער סטאַרץ אַ סעסיע, דער קאָמפּיוטער מיד שאַט אַראָפּ.

4.7. די קאַנפיגיעריישאַן טעקע

דורך פעליקייַט, RTM האט כּמעט קיין קאַנפיגיעריישאַן טעקע, אָבער די באַפֿעל און קאָנטראָל סערווער קענען שיקן קאַנפיגיעריישאַן וואַלועס וואָס וועט זיין סטאָרד אין די רעגיסטרי און געוויינט דורך די פּראָגראַם. די רשימה פון קאַנפיגיעריישאַן שליסלען איז דערלאנגט אין די טיש אונטן:

די קאַנפיגיעריישאַן איז סטאָרד אין די ווייכווארג [פּסעוודאָ-ראַנדאָם שטריקל] רעגיסטרי שליסל. יעדער ווערט קאָראַספּאַנדז צו איינער פון די ראָוז דערלאנגט אין די פריערדיקע טיש. וואַלועס און דאַטן זענען קאָדעד מיט די RC4 אַלגערידאַם אין RTM.

די דאַטן האָבן די זעלבע סטרוקטור ווי אַ נעץ אָדער סטרינגס. א פיר-ביטע XOR שליסל איז מוסיף אין די אָנהייב פון די ענקאָודיד דאַטן. פֿאַר קאַנפיגיעריישאַן וואַלועס, די XOR שליסל איז אַנדערש און דעפּענדס אויף די גרייס פון די ווערט. עס קענען זיין קאַלקיאַלייטיד ווי גייט:

קסאָר_קיי = (לענ (קאָנפיג_וואַליו) <<24) | (len (config_value) <<16)
| len(config_value)| (len (config_value) <<8)

4.8. אנדערע פֿעיִקייטן

דערנאָך, לאָמיר זען אנדערע פאַנגקשאַנז וואָס RTM שטיצט.

4.8.1. נאָך מאַדזשולז

די טראָדזשאַן כולל נאָך מאַדזשולז, וואָס זענען דלל טעקעס. מאָדולעס געשיקט פֿון די C&C באַפֿעלן סערווער קענען זיין עקסאַקיוטאַד ווי פונדרויסנדיק מגילה, שפיגלט אין באַראַן און לאָנטשט אין נייַע פֿעדעם. פֿאַר סטאָרידזש, מאַדזשולז זענען געראטעוועט אין. דטט טעקעס און קאָדעד ניצן די RC4 אַלגערידאַם מיט דער זעלביקער שליסל געניצט פֿאַר נעץ קאָמוניקאַציע.

ביז איצט, מיר האָבן באמערקט די ייַנמאָנטירונג פון די VNC מאָדולע (8966319882494077C21F66A8354E2CBCA0370464), די בלעטערער דאַטן יקסטראַקשאַן מאָדולע (03DE8622BE6B2F75A364A275995C3411626C4E9C1C2C1F) 562FBA1B 69BE6D58B88753E7CFAB).

צו לאָדן די וונק מאָדולע, די C&C סערווער אַרויסגעבן אַ באַפֿעל ריקוועסטינג קאַנעקשאַנז צו די וונק סערווער אין אַ ספּעציפיש יפּ אַדרעס אויף פּאָרט 44443. דער בלעטערער דאַטן ריטריוואַל פּלוגין עקסאַקיוץ טבראָווסערדאַטאַקאָללעקטאָר, וואָס קענען לייענען הייסט בראַוזינג געשיכטע. דערנאָך עס סענדז די פול רשימה פון באזוכט URL ס צו די C&C באַפֿעלן סערווער.

די לעצטע מאָדולע דיסקאַווערד איז גערופן 1c_2_kl. עס קענען ינטעראַקט מיט די 1C Enterprise ווייכווארג פּעקל. דער מאָדולע כולל צוויי פּאַרץ: דער הויפּט טייל - דלל און צוויי אגענטן (32 און 64 ביסל), וואָס וועט זיין ינדזשעקטיד אין יעדער פּראָצעס, רעדזשיסטערינג אַ ביינדינג צו WH_CBT. נאָך באַקענענ אין די 1C פּראָצעס, דער מאָדולע ביינדז די CreateFile און WriteFile פאַנגקשאַנז. ווען די CreateFile געבונדן פֿונקציע איז גערופן, די מאָדולע סטאָרז די טעקע דרך 1c_to_kl.txt אין זכּרון. נאָך ינטערסעפּטינג די WriteFile רופן, עס רופט די WriteFile פֿונקציע און סענדז די טעקע דרך 1c_to_kl.txt צו די הויפּט דלל מאָדולע, און פאָרן די קראַפטעד Windows WM_COPYDATA אָנזאָג.

די הויפּט דלל מאָדולע אָפּענס און פּאַרסעס די טעקע צו באַשליסן צאָלונג אָרדערס. עס אנערקענט די סומע און טראַנסאַקטיאָן נומער קאַנטיינד אין דער טעקע. די אינפֿאָרמאַציע איז געשיקט צו די באַפֿעל סערווער. מיר גלויבן אַז דעם מאָדולע איז דערווייַל אונטער אַנטוויקלונג ווייַל עס כּולל אַ דיבאַג אָנזאָג און קען נישט אויטאָמאַטיש מאָדיפיצירן 1c_to_kl.txt.

4.8.2. פּריווילאַדזשאַז עסקאַלירונג

RTM קען פּרווון צו עסקאַלייט פּריווילאַדזשאַז דורך ווייַזנדיק פאַלש טעות אַרטיקלען. די מאַלוואַרע סימיאַלייץ אַ רעגיסטרי טשעק (זען בילד אונטן) אָדער ניצט אַ פאַקטיש רעגיסטרי רעדאַקטאָר ייקאַן. ביטע טאָן די מיספּעלינג וואַרטן - ווייט. נאָך אַ ביסל סעקונדעס פון סקאַנינג, די פּראָגראַם דיספּלייז אַ פאַלש טעות אָנזאָג.

א פאַלש אָנזאָג וועט לייכט אָפּנאַרן די דורכשניטלעך באַניצער, טראָץ גראַמאַטיק ערראָרס. אויב דער באַניצער קליקט אויף איינער פון די צוויי לינקס, RTM וועט פּרווון צו עסקאַלייט זיין פּריווילאַדזשאַז אין די סיסטעם.

נאָך סאַלעקטינג איינער פון צוויי אָפּזוך אָפּציעס, די טראָדזשאַן לאָנטשיז די דלל מיט די Runas אָפּציע אין די ShellExecute פונקציע מיט אַדמיניסטראַטאָר פּריווילאַדזשאַז. דער באַניצער וועט זען אַ פאַקטיש Windows פּינטלעך (זען בילד אונטן) פֿאַר הייך. אויב דער באַניצער גיט די נייטיק פּערמישאַנז, די טראָדזשאַן וועט לויפן מיט אַדמיניסטראַטאָר פּריווילאַדזשאַז.

דעפּענדינג אויף די פעליקייַט שפּראַך אינסטאַלירן אויף די סיסטעם, די טראָדזשאַן דיספּלייז טעות אַרטיקלען אין רוסיש אָדער ענגליש.

4.8.3. סערטיפיקאַט

RTM קענען לייגן סערטיפיקאַץ צו די Windows סטאָר און באַשטעטיקן די רילייאַבילאַטי פון די אַדישאַן דורך אויטאָמאַטיש געבן אַ קליק דעם "יאָ" קנעפּל אין די csrss.exe דיאַלאָג קעסטל. דעם אָפּפירונג איז נישט נייַ, למשל, די באַנקינג טראָדזשאַן רעטעפע קאַנפערמז אויך ינדיפּענדאַנטלי די ינסטאַלירונג פון אַ נייַ באַווייַזן.

4.8.4. פאַרקערט קשר

די RTM מחברים אויך באשאפן דעם Backconnect TCP טונעל. מיר האָבן נישט געזען דעם שטריך אין נוצן נאָך, אָבער עס איז דיזיינד צו רימאָוטלי מאָניטאָר ינפעקטאַד פּיסי.

4.8.5. האָסט טעקע פאַרוואַלטונג

די C&C סערווער קענען שיקן אַ באַפֿעל צו די טראָדזשאַן צו מאָדיפיצירן די Windows באַלעבאָס טעקע. דער באַלעבאָס טעקע איז געניצט צו שאַפֿן מנהג דנס רעזאַלושאַנז.

4.8.6. געפֿינען און שיקן אַ טעקע

דער סערווער קען בעטן צו זוכן און אראפקאפיע אַ טעקע אויף די ינפעקטאַד סיסטעם. פֿאַר בייַשפּיל, בעשאַס די פאָרשונג מיר באקומען אַ בקשה פֿאַר די טעקע 1c_to_kl.txt. ווי פריער דיסקרייבד, די טעקע איז דזשענערייטאַד דורך די 1C: Enterprise 8 אַקאַונטינג סיסטעם.

4.8.7. דערהייַנטיקן

צום סוף, RTM מחברים קענען דערהייַנטיקן די ווייכווארג דורך פאָרלייגן אַ נייַ דלל צו פאַרבייַטן די קראַנט ווערסיע.

5. מסקנא

RTM ס פאָרשונג ווייזט אַז די רוסישע באַנקינג סיסטעם נאָך אַטראַקץ סייבער אַטאַקערז. גרופּעס אַזאַ ווי בוהטראַפּ, קאָרקאָוו און קאַרבאַנאַק הצלחה גאַנווענען געלט פון פינאַנציעל אינסטיטוציעס און זייער קלייאַנץ אין רוסלאַנד. RTM איז אַ נייַע שפּילער אין דעם אינדוסטריע.

בייזע RTM מכשירים האָבן שוין אין נוצן זינט בייַ מינדסטער שפּעט 2015, לויט ESET טעלעמעטרי. דער פּראָגראַם האט אַ פול קייט פון ספּייינג קייפּאַבילאַטיז, אַרייַנגערעכנט לייענען סמאַרט קאַרדס, ינטערסעפּטינג קיסטראָוקס און מאָניטאָרינג באַנקינג טראַנזאַקשאַנז, ווי געזונט ווי זוכן פֿאַר 1C: Enterprise 8 אַריבערפירן טעקעס.

די נוצן פון אַ דיסענטראַלייזד, אַנסענסערד .ביט שפּיץ-מדרגה פעלד ינשורז העכסט ריזיליאַנט ינפראַסטראַקטשער.

מקור: www.habr.com