Специалисты eSentire Threat Response Unit (TRU) зафиксировали новую сложную кампанию кибершпионажа, нацеленную на пользователей в Индии. Атака начинается с фишинговых писем, в которых злоумышленники выдают себя за Департамент подоходного налога Индии (Income Tax Department of India). Главной целью операции является обман жертв для загрузки вредоносного архива, что предоставляет хакерам постоянный доступ к системе, возможности непрерывного мониторинга и эксфильтрации данных. На данный момент кампания не атрибутирована какой-либо известной группировке киберпреступников.
Механизм заражения базируется на распространении ZIP-файла, замаскированного под уведомление о налоговых штрафах. Внутри архива содержатся пять файлов, четыре из которых скрыты от пользователя. Начальным триггером атаки служит видимый исполняемый файл с названием «Inspection Document Review.exe». При запуске этот файл использует технику DLL Sideloading, подгружая вредоносную динамическую библиотеку, спрятанную в том же архиве. Данная DLL выполняет функции обнаружения отладки для противодействия анализу и связывается с внешним сервером для получения полезной нагрузки следующего этапа.
Злоумышленники используют продвинутые методы для повышения привилегий и скрытия своего присутствия в системе. Вредоносное ПО применяет технику на основе COM для обхода контроля учетных записей (UAC), что позволяет получить административные права без уведомления пользователя. Кроме того, программа модифицирует собственный блок окружения процесса (PEB), чтобы маскироваться под легитимный системный процесс Windows «explorer.exe». Это значительно усложняет обнаружение активности стандартными средствами мониторинга.
В качестве промежуточной полезной нагрузки система извлекает файл «180.exe» с домена «eaxwwyr[.]cn». Этот файл представляет собой 32-битный инсталлятор Inno Setup. Логика поведения установщика адаптивна: она корректируется в зависимости от наличия на компьютере жертвы определенного антивирусного программного обеспечения. Это указывает на высокую степень подготовки атакующих и их нацеленность на преодоление конкретных средств защиты.
Особое внимание в кампании уделено обходу антивируса Avast Free Antivirus (процесс «AvastUI.exe»). Если вредоносное ПО обнаруживает этот антивирус, оно не пытается отключить его движок, что могло бы вызвать подозрения, а использует автоматизированную симуляцию движений мыши. С помощью DLL, которая оценена как вариант семейства вредоносных программ Blackmoon, скрипт самостоятельно перемещается по интерфейсу антивируса и добавляет вредоносные файлы в список исключений.
Финальная стадия атаки включает развертывание двух основных компонентов. Первым является Blackmoon (также известный как KRBanker) — вариант банковского трояна. Впервые этот троян появился в сентябре 2015 года и ранее использовался для атак на бизнес-структуры в Южной Корее, США и Канаде. Его наличие свидетельствует о возможном финансовом мотиве или использовании старых проверенных инструментов в новых целях шпионажа.
Вторым и ключевым компонентом является SyncFuture TSM (Terminal Security Management). Это легитимный корпоративный инструмент, разработанный китайской компанией Nanjing Zhongke Huasai Technology Co., Ltd. В файлах поставщиком указана SyncFutureTec Company Limited. В процессе заражения процесс уклонения запускает файл «Setup.exe», который записывает на диск «mysetup.exe» — именно он идентифицирован как инструмент SyncFuture TSM.
Использование SyncFuture TSM позволяет злоумышленникам превратить легальное программное обеспечение в мощный инструмент шпионажа. Функционал RMM (удаленный мониторинг и управление) обеспечивает полный контроль над зараженными конечными точками. Хакеры получают возможность записывать действия пользователя в режиме реального времени, эксфильтровать конфиденциальные данные, оркестровать различные службы и вести подробные журналы активности системы.
Эксперты eSentire отмечают, что организаторы этой кампании демонстрируют высокий уровень технической подготовки. Они эффективно сочетают методы анти-анализа, повышения привилегий, DLL sideloading, перепрофилирование коммерческих инструментов и сложные техники уклонения от защитного ПО. Подобная комбинация делает атаку крайне опасной и трудной для своевременного выявления традиционными средствами безопасности.
Изображение носит иллюстративный характер
Механизм заражения базируется на распространении ZIP-файла, замаскированного под уведомление о налоговых штрафах. Внутри архива содержатся пять файлов, четыре из которых скрыты от пользователя. Начальным триггером атаки служит видимый исполняемый файл с названием «Inspection Document Review.exe». При запуске этот файл использует технику DLL Sideloading, подгружая вредоносную динамическую библиотеку, спрятанную в том же архиве. Данная DLL выполняет функции обнаружения отладки для противодействия анализу и связывается с внешним сервером для получения полезной нагрузки следующего этапа.
Злоумышленники используют продвинутые методы для повышения привилегий и скрытия своего присутствия в системе. Вредоносное ПО применяет технику на основе COM для обхода контроля учетных записей (UAC), что позволяет получить административные права без уведомления пользователя. Кроме того, программа модифицирует собственный блок окружения процесса (PEB), чтобы маскироваться под легитимный системный процесс Windows «explorer.exe». Это значительно усложняет обнаружение активности стандартными средствами мониторинга.
В качестве промежуточной полезной нагрузки система извлекает файл «180.exe» с домена «eaxwwyr[.]cn». Этот файл представляет собой 32-битный инсталлятор Inno Setup. Логика поведения установщика адаптивна: она корректируется в зависимости от наличия на компьютере жертвы определенного антивирусного программного обеспечения. Это указывает на высокую степень подготовки атакующих и их нацеленность на преодоление конкретных средств защиты.
Особое внимание в кампании уделено обходу антивируса Avast Free Antivirus (процесс «AvastUI.exe»). Если вредоносное ПО обнаруживает этот антивирус, оно не пытается отключить его движок, что могло бы вызвать подозрения, а использует автоматизированную симуляцию движений мыши. С помощью DLL, которая оценена как вариант семейства вредоносных программ Blackmoon, скрипт самостоятельно перемещается по интерфейсу антивируса и добавляет вредоносные файлы в список исключений.
Финальная стадия атаки включает развертывание двух основных компонентов. Первым является Blackmoon (также известный как KRBanker) — вариант банковского трояна. Впервые этот троян появился в сентябре 2015 года и ранее использовался для атак на бизнес-структуры в Южной Корее, США и Канаде. Его наличие свидетельствует о возможном финансовом мотиве или использовании старых проверенных инструментов в новых целях шпионажа.
Вторым и ключевым компонентом является SyncFuture TSM (Terminal Security Management). Это легитимный корпоративный инструмент, разработанный китайской компанией Nanjing Zhongke Huasai Technology Co., Ltd. В файлах поставщиком указана SyncFutureTec Company Limited. В процессе заражения процесс уклонения запускает файл «Setup.exe», который записывает на диск «mysetup.exe» — именно он идентифицирован как инструмент SyncFuture TSM.
Использование SyncFuture TSM позволяет злоумышленникам превратить легальное программное обеспечение в мощный инструмент шпионажа. Функционал RMM (удаленный мониторинг и управление) обеспечивает полный контроль над зараженными конечными точками. Хакеры получают возможность записывать действия пользователя в режиме реального времени, эксфильтровать конфиденциальные данные, оркестровать различные службы и вести подробные журналы активности системы.
Эксперты eSentire отмечают, что организаторы этой кампании демонстрируют высокий уровень технической подготовки. Они эффективно сочетают методы анти-анализа, повышения привилегий, DLL sideloading, перепрофилирование коммерческих инструментов и сложные техники уклонения от защитного ПО. Подобная комбинация делает атаку крайне опасной и трудной для своевременного выявления традиционными средствами безопасности.
