Բաց-կոդով Հեռակառավարվող տրոյական ծրագիրը թիրախավորում է «Արմենիա» միջազգային օդանավակայաններն ու Հայաստանի պետական ​​հաստատությունները

22 Սպտ 2023

CyberHUB-AM-ի թիմը, Internews-ի վերլուծաբան Մարթայն Գրութենի հետ համատեղ, ուսումնասիրել է Հեռակառավարվող տրոյական ծրագիրը (Remote Access Trojan — RAT), որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական ​​մարմինները: Հարձակման վրա մեր ուշադրությունը հրավիրել է Սինգապուրում գործող կիբերանվտանգության հետազոտող Ժիսիանգ Հաոն։

Չարամիտ ծրագիրը ներդրված է MS Word փաստաթղթում, որը ներկայացվում է որպես Ազգային անվտանգության ծառայության զգուշացում, և օգտագործում է VBA Macro կոդ, իսկ այնուհետև՝ Powershell սկրիպտ, վնասաբեր ծրագիրը ներբեռնելու և համակարգչում գործարկելու համար։

Armenia -- Screenshot of malacious MS Word file, pretending to be from Armenia's National Security Service, Yerevan, 21Sep2023
Armenia — Screenshot of malacious MS Word file, pretending to be from Armenia’s National Security Service, Yerevan, 21Sep2023

Այս զեկույցը տրամադրում է չարամիտ ծրագրի, դրա ֆունկցիոնալության և խոցելիությունների ցուցիչների (IOC) վերլուծություն, որը կօգնի պաշտպանվել հնարավոր հարձակումից:

Առանձին հրապարակմամբ կներկայացնենք հարձակման հավելյալ տեխնիկական մանրամասները։

Հարձակման ընդհանուր նկարագիր

  • Ֆայլի անվանումը՝ haytararutyun.doc
  • SHA-256 Հեշ՝ fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce
  • Առաքման եղանակ. վնասաբեր ծրագիրն առաքվում է Word փաստաթղթի միջոցով (haytararutyun.doc), որը պարունակում է VBA մակրո կոդ:

VBA մակրո ֆունկցիոնալություն. Փաստաթղթում VBA մակրո կոդը կատարում է հետևյալ գործողությունները.

  • Ներբեռնում է ֆայլ (ekeng-mta.exe) հետևյալ սերվերից (hxxps[://]karabakhtelekom[.]com/api/ekeng-mta[.]exe)
  • Գործարկում է ներբեռնված ֆայլը՝ օգտագործելով cmd /c C:\users\Public\Downloads\ekeng-mta.exe հրամանը:
  • Պատճենում է ֆայլը (Server.bat) մեկ այլ վայրում:
  •  Գործարկում է Server.bat-ը vbHide հատկանիշով:
  • Կապվում է hեռակառավարման (C2) սերվերի հետ (139.84.231.199) PowerShell-ի միջոցով:
  • Օգտագործում է գաղտնագրված հրամաններ՝ պաշտպանական համակարգերը շրջանցելու համար:
  • Ներբեռնում է լրացուցիչ ֆայլեր, ներառյալ mta.ps1-ը և mta.dll-ը, որոնք կապված են UrbanBishop տրոյական ծրագրի հետ:

UrbanBishop:

  • Վնասաբեր ծրագիրը ներառում է հարձակման կոդ, որը հայտնի է որպես UrbanBishop, որն օգտագործվում է shellcode-ի կատարման համար:
  • UrbanBishop-ը պոտենցիալ բաց կոդով գործիք է Remote Access և Trojan (RAT) գործառույթների համար:

Հարձակման ցուցիչներ (IOC)

Վնասակար ֆայլեր.

haytararutyun.doc

  • SHA-256 Hash:fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce

add-mta.exe

  •  SHA-256 Հեշ՝ 3a679cb98f88d7d6bd84dcfe9717238c08c05942055bdb798103224e7f2f2ca9

mta.ps1

  •  SHA-256 Հեշ՝ 60416198c9b2105c9204638fd00e154e2f5c32ba45f5a8ae2671bae565c062e9

mta.dll

  •  SHA-256 Հաշ՝ be4bf8ae8ad02363ec3a3a0a932a439eab48c9427375038d121421806be32051

C2 Սերվեր:

  • IP հասցե՝ 139.84.231.199
  • Գտնվելու վայրը՝ Աֆրիկա (հավանաբար VPS սերվեր)

Դոմեն:

  • Դոմենի անվանումը՝ karabakhtelekom.com
  •  Ռեգիստրար՝ eNom, LLC
  • Ստեղծման ամսաթիվ՝ 2023-09-04
  • Թարմացվել է 2023-09-11
  • Ներկայումս clientHold կարգավիճակում է

Չեզոքացման ռազմավարություններ

Ելքային կապերի վերահսկողություն.

  • Իրականացնել ելքային կապերի մոնիտորինգ PowerShell user-agent տողերով:

Սահմանափակում ցանցային մակարդակում.

  • Սահմանափակել մուտքը դեպի IP հասցե 139.84.231.199 ցանցի շերտում:

Գործընթացի մոնիտորինգ.

  • Վերահսկել համակարգչում գործարկվող child process-ները, մասնավորապես՝ mta.dll-ը:

Հեշ արժեքի ստուգում.

Ստուգեք կարևոր ֆայլերի հեշ արժեքները.

  • mta.ps1 (SHA1: 72EF210030F0F470433A6AACC66DFBE4CBFDAD5C)
  • mta.dll (SHA1: F5145EC20482B39B727E980169DA92E36D4C5A6E)

Էլ-փոստի պաշտպանություն.

  • Արգելափակել aacpress.net տիրույթից ստացված էլ. նամակները՝ հետագա հարձակումները կանխելու համար:

Եզրակացություն

Սպառնալիքների վերլուծության այս զեկույցը նկարագրում է հարձակում, որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական ​​մարմինները՝ օգտագործելով MS Word-ի փաստաթուղթ՝ ներկառուցված VBA մակրո կոդով: Չարամիտ ծրագիրը գործառույթները ներառում են վնասակար հարձակողական ծրագրերի ներբեռնումը և գործարկումը և կապը հեռակառավարման C2 սերվերի հետ և UrbanBishop-ի օգտակար բեռի օգտագործումը: Այս սպառնալիքը չեզոքացնելու համար CyberHUB-AM թիմը առաջարկում է պաշտպանողական ռազմավարություններ՝ ընդգծելով ակտիվ մոնիտորինգի և ցանցի անվտանգության միջոցառումների կարևորությունը: Անվտանգության թիմերին կոչ ենք անում զգոն լինել և համապատասխանաբար թարմացնել իրենց պաշտպանությունը: