Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch đang diễn ra nhắm vào người dùng Ấn Độ bằng một backdoor nhiều giai đoạn, như một phần của chiến dịch gián điệp mạng bị nghi ngờ.
Hoạt động này, theo eSentire Threat Response Unit (TRU), bao gồm việc sử dụng email phishing mạo danh Cục Thuế Ấn Độ để lừa nạn nhân tải xuống một kho lưu trữ độc hại, cuối cùng cấp cho các tác nhân đe dọa quyền truy cập liên tục vào máy của họ để giám sát và exfiltrate dữ liệu.
Mục tiêu cuối cùng của cuộc tấn công tinh vi này là triển khai một biến thể của banking trojan nổi tiếng tên là Blackmoon (còn gọi là KRBanker) và một công cụ doanh nghiệp hợp pháp tên là SyncFuture TSM (Terminal Security Management) được phát triển bởi Nanjing Zhongke Huasai Technology Co., Ltd, một công ty Trung Quốc. Chiến dịch này chưa được quy cho bất kỳ threat actor hoặc nhóm nào đã biết.
"Mặc dù được quảng cáo là một công cụ doanh nghiệp hợp pháp, nhưng nó đã được tái sử dụng trong chiến dịch này như một framework gián điệp mạnh mẽ, tất cả trong một," eSentire cho biết. "Bằng cách triển khai hệ thống này làm payload cuối cùng của chúng, các threat actor thiết lập khả năng persistence dai dẳng và có được một bộ tính năng phong phú để giám sát hoạt động của nạn nhân và quản lý tập trung việc đánh cắp thông tin nhạy cảm."
Tệp ZIP được phân phối thông qua các thông báo phạt thuế giả mạo chứa năm tệp khác nhau, tất cả đều bị ẩn ngoại trừ một executable ("Inspection Document Review.exe") được sử dụng để sideload một DLL độc hại có trong kho lưu trữ. DLL này thực hiện các kiểm tra để phát hiện sự chậm trễ do debugger gây ra và liên hệ với một máy chủ bên ngoài để fetch payload giai đoạn tiếp theo.
shellcode đã tải xuống sau đó sử dụng kỹ thuật dựa trên COM để bypass User Account Control (UAC) nhằm giành quyền quản trị. Nó cũng sửa đổi Process Environment Block (PEB) của chính mình để masquerade như tiến trình Windows "explorer.exe" hợp pháp nhằm ẩn mình.
Ngoài ra, nó còn retrieves executable giai đoạn tiếp theo "180.exe" từ domain "eaxwwyr[.]cn", một trình cài đặt Inno Setup 32-bit điều chỉnh hành vi của nó dựa trên việc tiến trình Avast Free Antivirus ("AvastUI.exe") có đang chạy trên host bị compromised hay không.
Nếu chương trình bảo mật được phát hiện, malware sử dụng mô phỏng chuột tự động để điều hướng giao diện của Avast và thêm các tệp độc hại vào danh sách loại trừ mà không vô hiệu hóa antivirus engine để bypass việc phát hiện. Điều này đạt được thông qua một DLL được đánh giá là một biến thể của họ malware Blackmoon, vốn nổi tiếng vì nhắm mục tiêu vào các doanh nghiệp ở Hàn Quốc, Mỹ và Canada. Nó lần đầu tiên xuất hiện vào tháng 9 năm 2015.
Tệp được thêm vào danh sách loại trừ là một executable tên là "Setup.exe", đây là một utility từ SyncFutureTec Company Limited và được thiết kế để ghi "mysetup.exe" vào disk. Tệp sau được đánh giá là SyncFuture TSM, một công cụ thương mại với các khả năng remote monitoring and management (RMM).
Bằng cách lạm dụng một công cụ hợp pháp, các threat actor đằng sau chiến dịch này có được khả năng điều khiển từ xa các endpoint bị infected, record hoạt động của người dùng và exfiltrate dữ liệu quan trọng. Sau khi executable được thực thi, các tệp khác cũng được triển khai -
- Các Batch scripts tạo các thư mục tùy chỉnh và sửa đổi Access Control Lists (ACLs) của chúng để cấp permissions cho tất cả người dùng
- Các Batch scripts thao tác user permissions trên các thư mục Desktop
- Một Batch script thực hiện các operations dọn dẹp và restoration
- Một executable tên là "MANC.exe" điều phối các services khác nhau và cho phép logging rộng rãi
"Nó cung cấp cho chúng các công cụ không chỉ để steal data mà còn để maintain granular control over the compromised environment, monitor user activity in real-time, và ensure their own persistence," eSentire cho biết. "Bằng cách kết hợp anti-analysis, privilege escalation, DLL sideloading, commercial-tool repurposing, và security-software evasion, threat actor thể hiện cả capability và intent."
