Eρευνητές ασφαλείας ανακάλυψαν ένα νέο malware με την ονομασία «SkinnyBoy», το οποίο χρησιμοποιήθηκε σε phishing εκστρατείες που φέρονται να διενεργήθηκαν από τη ρωσόφωνη hacking ομάδα “APT28”. Η APT28 (γνωστή και ως Fancy Bear, Sednit, Sofacy, Strontium ή PwnStorm) χρησιμοποίησε το SkinnyBoy σε επιθέσεις που είχαν ως στόχο στρατιωτικούς και κυβερνητικούς οργανισμούς νωρίτερα αυτό το έτος.
Το SkinnyBoy προοριζόταν για ένα ενδιάμεσο στάδιο της επίθεσης για τη συλλογή πληροφοριών σχετικά με το εκάστοτε θύμα και για την ανάκτηση του επόμενου payload από τον C2 server.
Σύμφωνα με την εταιρεία έρευνας απειλών “Cluster25”, η APT28 πιθανώς πραγματοποίησε αυτήν την εκστρατεία στις αρχές Μαρτίου, εστιάζοντας σε υπουργεία Εξωτερικών, πρεσβείες, αμυντική βιομηχανία, καθώς και στον στρατιωτικό τομέα. Πολλά θύματα βρίσκονται στην Ευρωπαϊκή Ένωση, ωστόσο οι ερευνητές ανέφεραν ότι η δραστηριότητα ενδέχεται να έχει επηρεάσει και οργανισμούς στις ΗΠΑ.
Διαβάστε επίσης: Χάκερς προσελκύουν χρήστες Android με fake antivirus και τους μολύνουν με malware
Το SkinnyBoy διανέμεται μέσω ενός εγγράφου Word με μια μακροεντολή που εξάγει ένα αρχείο DLL που λειτουργεί ως πρόγραμμα λήψης malware.
Ως «δόλωμα» χρησιμοποιείται ένα μήνυμα με μια πλαστή πρόσκληση σε ένα διεθνές επιστημονικό event που θα πραγματοποιηθεί στην Ισπανία στα τέλη Ιουλίου.
Το άνοιγμα της πρόσκλησης ενεργοποιεί την αλυσίδα μόλυνσης, η οποία ξεκινά με την εξαγωγή ενός DLL που ανακτά το SkinnyBoy dropper, ένα κακόβουλο αρχείο που κατεβάζει το κύριο payload. Μόλις βρεθεί στο σύστημα, το dropper δημιουργεί επιμονή και κινείται για να εξάγει το επόμενο payload, το οποίο κωδικοποιείται σε μορφή Base64 και προσαρτάται ως overlay του εκτελέσιμου αρχείου.
Δείτε ακόμη: iPhone: Πώς να ελέγξετε αν έχει μολυνθεί με malware και πώς να το αφαιρέσετε;
Αυτό το payload διαγράφεται αφού εξάγει δύο αρχεία:
- C: \ Users \% username% \ AppData \ Local \ devtmrn.exe (2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce)
- C: \ Users \% username% \ AppData \ Local \ Microsoft \ TerminalServerClient \ TermSrvClt.dll (ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698)
Για να «διατηρήσει ένα χαμηλό προφίλ», το malware εκτελεί αυτά τα αρχεία σε μεταγενέστερο στάδιο, μετά τη δημιουργία ενός μηχανισμού επιμονής μέσω ενός αρχείου LNK στο Windows Startup folder.
Το αρχείο LNK ενεργοποιείται στην επόμενη επανεκκίνηση του μολυσμένου μηχανήματος και αναζητά το κύριο payload, SkinnyBoy (TermSrvClt.dll), ελέγχοντας τους κατακερματισμούς SHA256 όλων των αρχείων στο C: \ Users \% username% \ AppData \ Local.
Σκοπός του SkinnyBoy είναι να διαγράψει πληροφορίες σχετικά με το μολυσμένο σύστημα, καθώς και να κατεβάσει και να εκτελέσει το τελικό payload της επίθεσης, το οποίο παραμένει άγνωστο προς το παρόν.
Πρόταση: Κινέζοι χάκερς ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν κυβερνήσεις
Η συλλογή των δεδομένων γίνεται με τη χρήση του systeminfo.exe και του tasklist., εργαλεία Exx που υπάρχουν ήδη στα Windows, τα οποία του επιτρέπουν να εξάγει ονόματα αρχείων σε συγκεκριμένα locations:
- C: \ Users \% username% \ Desktop
- C: \ Program Files – C: \ Program Files (x86)
- C: \ Users \% username% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Administrative Tools
- C: \ Users \% username% \ AppData \ Roaming
- C: \ Users \% username% \ AppData \ Roaming \ Microsoft \ Windows \ Templates
- C: \ Windows – C: \ Users \ user \ AppData \ Local \ Temp
Όλες οι πληροφορίες που εξάγονται με αυτόν τον τρόπο μεταφέρονται στον C2 server με οργανωμένο τρόπο και κωδικοποιούνται σε μορφή base64.
Όπως αναφέρει η Cluster25, ο επιτιθέμενος χρησιμοποίησε υπηρεσίες VPN για να αγοράσει στοιχεία για την υποδομή τους, μια τακτική που χρησιμοποιούν οι χάκερς για να κρύψουν καλύτερα τα ίχνη τους.
Αφού παρατήρησε τις τακτικές, τις τεχνικές και τις διαδικασίες, η Cluster25 πιστεύει ότι το SkinnyBoy implant είναι ένα νέο εργαλείο από τη ρωσική APT28.
Στην έκθεση που κοινοποίησε στις 3 Ιουνίου, η Cluster25 παρέχει κανόνες YARA για όλα τα εργαλεία που εξετάστηκαν από τους ερευνητές της (SkinnyBoy dropper, launcher και το ίδιο το payload), καθώς και μια λίστα δεικτών συμβιβασμού που μπορούν να βοηθήσουν τους οργανισμούς να εντοπίσουν την παρουσία του νέου malware.
Πηγή πληροφοριών: bleepingcomputer.com
