Ένα χρηματοπιστωτικό ίδρυμα της Νότιας Ασίας έχει γίνει ο τελευταίος στόχος μιας εστιασμένης κυβερνοεπίθεσης που περιλαμβάνει δύο προσαρμοσμένα εργαλεία κακόβουλου λογισμικού — το BRUSHWORM, ένα αρθρωτό backdoor και το BRUSHLOGGER, ένα keylogger μεταμφιεσμένο σε ένα αξιόπιστο αρχείο συστήματος.
Η επίθεση συνδύαζε κλοπή αρχείων, επίμονη πρόσβαση στο σύστημα και λήψη πληκτρολογίου σε πραγματικό χρόνο, υπογραμμίζοντας τον αυξανόμενο κίνδυνο που αντιμετωπίζουν οι χρηματοπιστωτικοί οργανισμοί σε όλη τη Νότια Ασία από στοχευμένες εισβολές.
Τα δύο στοιχεία κακόβουλου λογισμικού παραδόθηκαν ως ξεχωριστά δυαδικά αρχεία σε κάτι που φαίνεται να είναι σκόπιμη λειτουργία.
ΣΚΟΥΛΗΚΟΣ ΒΟΥΝΤΖΟΥ, μεταμφιεσμένος σε paint.exeλειτούργησε ως το κύριο εμφύτευμα — υπεύθυνο για τη σταθεροποίηση, την επικοινωνία με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2), τη λήψη πρόσθετων ωφέλιμων φορτίων, τη διάδοση μέσω αφαιρούμενων μονάδων USB και την κλοπή ευαίσθητων εγγράφων από μολυσμένα συστήματα.
BRUSHLOGGER, εν τω μεταξύ, μεταμφιεσμένος ως libcurl.dllμια συνήθως αξιόπιστη βιβλιοθήκη των Windows, μέσω μιας τεχνικής που ονομάζεται πλευρική φόρτωση DLL.
Η μοναδική του λειτουργία ήταν να καταγράφει αθόρυβα κάθε πάτημα πλήκτρων που πληκτρολογείται στο παραβιασμένο μηχάνημα ενώ παράλληλα καταγράφει τον ενεργό τίτλο του παραθύρου για κάθε περίοδο λειτουργίας.
Οι ερευνητές της Elastic Security Labs εντόπισαν το κακόβουλο λογισμικό κατά τη διάρκεια έρευνας για την υποδομή του στοχευόμενου χρηματοπιστωτικού ιδρύματος.
Το περιβάλλον του θύματος είχε ορατότητα μόνο σε επίπεδο SIEM εκείνη τη στιγμή, γεγονός που περιόριζε σημαντικά την τηλεμετρία μετά την εκμετάλλευση και δυσκόλεψε την ενδελεχή ιατροδικαστική ανακατασκευή.
Μέσω της περιστροφής του VirusTotal, οι ερευνητές αποκάλυψαν επίσης αυτό που φαίνεται να είναι προηγούμενες εκδόσεις ανάπτυξης του backdoor, που ανέβηκαν με ονόματα αρχείων όπως π.χ. V1.exe, V2.exeκαι V4.exeυποδεικνύοντας ότι ο παράγοντας απειλής βελτίωνε ενεργά το σύνολο εργαλείων πριν από την ανάπτυξη.
Παρά τη στοχευμένη φύση της επίθεσης, κανένα δυαδικό σύστημα δεν βασίστηκε σε ουσιαστική συσκότιση κώδικα, συσκευασία ή προηγμένες προστατευτικές τεχνικές. Η συνολική ποιότητα του κώδικα ήταν ιδιαίτερα αδύναμη.
Για παράδειγμα, το BRUSHWORM γράφει την αποκρυπτογραφημένη του διαμόρφωση στο δίσκο σε καθαρό κείμενο πριν δημιουργήσει ένα κρυπτογραφημένο αντίγραφο και στη συνέχεια διαγράψει το πρωτότυπο — μια ακολουθία επιρρεπής σε σφάλματα που αποκαλύπτει κακή πειθαρχία ανάπτυξης.
Συνδυάζεται με τη χρήση δωρεάν δυναμικής Η υποδομή DNS σε δοκιμαστικές εκδόσεις και η απουσία διακόπτη kill, οι ερευνητές εκτίμησαν με μέτρια σιγουριά ότι ο δημιουργός κακόβουλου λογισμικού είναι σχετικά άπειρος και μπορεί να έχει χρησιμοποιήσει εργαλεία δημιουργίας κώδικα AI κατά την ανάπτυξη χωρίς να επανεξετάσει πλήρως το αποτέλεσμα.
Ο αντίκτυπος αυτής της επίθεσης επεκτάθηκε πολύ πέρα από το απλό κλοπή δεδομένων. Το BRUSHWORM δημιουργήθηκε για να αναπαράγει τον εαυτό του σε συνδεδεμένες μονάδες USB χρησιμοποιώντας ονόματα αρχείων όπως Salary Slips.exe, Documents.exeκαι Dont Delete.exe — ονόματα που έχουν δημιουργηθεί ειδικά για να ξεγελάσουν τους υπαλλήλους σε ένα εταιρικό οικονομικό περιβάλλον ώστε να τα ανοίξουν.
Το BRUSHLOGGER κατέγραψε αθόρυβα κάθε πάτημα πλήκτρων παράλληλα, συγκεντρώνοντας τα διαπιστευτήρια σύνδεσης, τις οικονομικές εισροές και τις εσωτερικές επικοινωνίες σε όλη την περίοδο μόλυνσης.
Μηχανισμός μόλυνσης και επιμονή του BRUSHWORM
Μια από τις πιο αξιοσημείωτες λειτουργικά πτυχές αυτής της επίθεσης είναι ο τρόπος με τον οποίο το BRUSHWORM σκάβει αθόρυβα ένα σύστημα και διασφαλίζει ότι παραμένει εκεί.
Κατά την πρώτη εκτέλεση, το κακόβουλο λογισμικό δημιουργεί αρκετούς κρυφούς καταλόγους με μονοπάτια με σκληρό κώδικα — συμπεριλαμβανομένων C:\ProgramData\Photoes\Pics\ για το κύριο δυαδικό αρχείο backdoor και C:\Users\Public\Libraries\ για ληφθέντες μονάδες.
Είναι ενδιαφέρον ότι η ανορθογραφία του “Photoes” αντί του “Photos” εμφανίζεται σταθερά και στα δύο στοιχεία και πιστεύεται ότι είναι αυθεντικό λάθος του συγγραφέα, πιθανόν να συνδυάζεται με νόμιμους καταλόγους πολυμέσων χρήστη.
.webp.jpeg)
Για να επιβιώσουν οι επανεκκινήσεις συστήματος, το BRUSHWORM καταχωρεί μια προγραμματισμένη εργασία των Windows με το όνομα MSGraphics μέσω της διεπαφής COM Task Scheduler, που έχει ρυθμιστεί να εκτελεί το backdoor κάθε φορά που ένας χρήστης συνδέεται.
Στη συνέχεια ανακτά ένα ωφέλιμο φορτίο DLL από τον διακομιστή C2 στο resources.dawnnewsisl[.]com/updtdll χρησιμοποιώντας ένα αίτημα WinHTTP GET, το αποθηκεύει ως Recorder.dllκαι την εκκινεί μέσω μιας δεύτερης προγραμματισμένης εργασίας με το όνομα MSRecorder μέσω rundll32.exe.
.webp.jpeg)
Σε περιβάλλοντα χωρίς ενεργή πρόσβαση στο Διαδίκτυο, το BRUSHWORM περιστρέφεται σε μια μέθοδο φυσικής εξαγωγής, αντιγράφοντας όλα τα κλεμμένα αρχεία απευθείας σε οποιοδήποτε συνδεδεμένο Μονάδα USB για γεφύρωση δικτύων με διάκενο αέρα.
Συνιστάται στις ομάδες ασφαλείας να περιορίζουν την εκτέλεση μη υπογεγραμμένων δυαδικών αρχείων και να παρακολουθούν στενά για ασυνήθιστη προγραμματισμένη δημιουργία εργασιών, ειδικά τις εργασίες που ονομάζονται MSGraphics ή MSRecorder.
Η ανάπτυξη λύσεων ανίχνευσης τελικού σημείου με παρακολούθηση δραστηριότητας USB μπορεί να εμποδίσει τη διάδοση αφαιρούμενων μέσων του BRUSHWORM προτού εξαπλωθεί περαιτέρω.
Ο έλεγχος της συμπεριφοράς φόρτωσης DLL στα τελικά σημεία είναι επίσης απαραίτητος για την παρακολούθηση προσπαθειών πλευρικής φόρτωσης όπως αυτές που χρησιμοποιούνται από το BRUSHLOGGER. Οι κανόνες YARA είναι διαθέσιμοι για τον εντοπισμό τόσο του BRUSHWORM όσο και του BRUSHLOGGER σε τελικά σημεία και περιβάλλοντα δικτύου.
