CyberHUB-AM-ի թիմը, Internews-ի վերլուծաբան Մարթայն Գրութենի հետ համատեղ, ուսումնասիրել է Հեռակառավարվող տրոյական ծրագիրը (Remote Access Trojan — RAT), որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական մարմինները: Հարձակման վրա մեր ուշադրությունը հրավիրել է Սինգապուրում գործող կիբերանվտանգության հետազոտող Ժիսիանգ Հաոն։
Չարամիտ ծրագիրը ներդրված է MS Word փաստաթղթում, որը ներկայացվում է որպես Ազգային անվտանգության ծառայության զգուշացում, և օգտագործում է VBA Macro կոդ, իսկ այնուհետև՝ Powershell սկրիպտ, վնասաբեր ծրագիրը ներբեռնելու և համակարգչում գործարկելու համար։
Այս զեկույցը տրամադրում է չարամիտ ծրագրի, դրա ֆունկցիոնալության և խոցելիությունների ցուցիչների (IOC) վերլուծություն, որը կօգնի պաշտպանվել հնարավոր հարձակումից:
Առանձին հրապարակմամբ կներկայացնենք հարձակման հավելյալ տեխնիկական մանրամասները։
Հարձակման ընդհանուր նկարագիր
- Ֆայլի անվանումը՝ haytararutyun.doc
- SHA-256 Հեշ՝ fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce
- Առաքման եղանակ. վնասաբեր ծրագիրն առաքվում է Word փաստաթղթի միջոցով (haytararutyun.doc), որը պարունակում է VBA մակրո կոդ:
VBA մակրո ֆունկցիոնալություն. Փաստաթղթում VBA մակրո կոդը կատարում է հետևյալ գործողությունները.
- Ներբեռնում է ֆայլ (ekeng-mta.exe) հետևյալ սերվերից (hxxps[://]karabakhtelekom[.]com/api/ekeng-mta[.]exe)
- Գործարկում է ներբեռնված ֆայլը՝ օգտագործելով cmd /c C:\users\Public\Downloads\ekeng-mta.exe հրամանը:
- Պատճենում է ֆայլը (Server.bat) մեկ այլ վայրում:
- Գործարկում է Server.bat-ը vbHide հատկանիշով:
- Կապվում է hեռակառավարման (C2) սերվերի հետ (139.84.231.199) PowerShell-ի միջոցով:
- Օգտագործում է գաղտնագրված հրամաններ՝ պաշտպանական համակարգերը շրջանցելու համար:
- Ներբեռնում է լրացուցիչ ֆայլեր, ներառյալ mta.ps1-ը և mta.dll-ը, որոնք կապված են UrbanBishop տրոյական ծրագրի հետ:
UrbanBishop:
- Վնասաբեր ծրագիրը ներառում է հարձակման կոդ, որը հայտնի է որպես UrbanBishop, որն օգտագործվում է shellcode-ի կատարման համար:
- UrbanBishop-ը պոտենցիալ բաց կոդով գործիք է Remote Access և Trojan (RAT) գործառույթների համար:
Հարձակման ցուցիչներ (IOC)
Վնասակար ֆայլեր.
haytararutyun.doc
- SHA-256 Hash:fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce
add-mta.exe
- SHA-256 Հեշ՝ 3a679cb98f88d7d6bd84dcfe9717238c08c05942055bdb798103224e7f2f2ca9
mta.ps1
- SHA-256 Հեշ՝ 60416198c9b2105c9204638fd00e154e2f5c32ba45f5a8ae2671bae565c062e9
mta.dll
- SHA-256 Հաշ՝ be4bf8ae8ad02363ec3a3a0a932a439eab48c9427375038d121421806be32051
C2 Սերվեր:
- IP հասցե՝ 139.84.231.199
- Գտնվելու վայրը՝ Աֆրիկա (հավանաբար VPS սերվեր)
Դոմեն:
- Դոմենի անվանումը՝ karabakhtelekom.com
- Ռեգիստրար՝ eNom, LLC
- Ստեղծման ամսաթիվ՝ 2023-09-04
- Թարմացվել է 2023-09-11
- Ներկայումս clientHold կարգավիճակում է
Չեզոքացման ռազմավարություններ
Ելքային կապերի վերահսկողություն.
- Իրականացնել ելքային կապերի մոնիտորինգ PowerShell user-agent տողերով:
Սահմանափակում ցանցային մակարդակում.
- Սահմանափակել մուտքը դեպի IP հասցե 139.84.231.199 ցանցի շերտում:
Գործընթացի մոնիտորինգ.
- Վերահսկել համակարգչում գործարկվող child process-ները, մասնավորապես՝ mta.dll-ը:
Հեշ արժեքի ստուգում.
Ստուգեք կարևոր ֆայլերի հեշ արժեքները.
- mta.ps1 (SHA1: 72EF210030F0F470433A6AACC66DFBE4CBFDAD5C)
- mta.dll (SHA1: F5145EC20482B39B727E980169DA92E36D4C5A6E)
Էլ-փոստի պաշտպանություն.
- Արգելափակել aacpress.net տիրույթից ստացված էլ. նամակները՝ հետագա հարձակումները կանխելու համար:
Եզրակացություն
Սպառնալիքների վերլուծության այս զեկույցը նկարագրում է հարձակում, որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական մարմինները՝ օգտագործելով MS Word-ի փաստաթուղթ՝ ներկառուցված VBA մակրո կոդով: Չարամիտ ծրագիրը գործառույթները ներառում են վնասակար հարձակողական ծրագրերի ներբեռնումը և գործարկումը և կապը հեռակառավարման C2 սերվերի հետ և UrbanBishop-ի օգտակար բեռի օգտագործումը: Այս սպառնալիքը չեզոքացնելու համար CyberHUB-AM թիմը առաջարկում է պաշտպանողական ռազմավարություններ՝ ընդգծելով ակտիվ մոնիտորինգի և ցանցի անվտանգության միջոցառումների կարևորությունը: Անվտանգության թիմերին կոչ ենք անում զգոն լինել և համապատասխանաբար թարմացնել իրենց պաշտպանությունը: