Բաց-կոդով Հեռակառավարվող տրոյական ծրագիրը թիրախավորում է «Արմենիա» միջազգային օդանավակայաններն ու Հայաստանի պետական ​​հաստատությունները

CyberHUB-AM-ի թիմը, Internews-ի վերլուծաբան Մարթայն Գրութենի հետ համատեղ, ուսումնասիրել է Հեռակառավարվող տրոյական ծրագիրը (Remote Access Trojan — RAT), որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական ​​մարմինները: Հարձակման վրա մեր ուշադրությունը հրավիրել է Սինգապուրում գործող կիբերանվտանգության հետազոտող Ժիսիանգ Հաոն։

Չարամիտ ծրագիրը ներդրված է MS Word փաստաթղթում, որը ներկայացվում է որպես Ազգային անվտանգության ծառայության զգուշացում, և օգտագործում է VBA Macro կոդ, իսկ այնուհետև՝ Powershell սկրիպտ, վնասաբեր ծրագիրը ներբեռնելու և համակարգչում գործարկելու համար։

Այս զեկույցը տրամադրում է չարամիտ ծրագրի, դրա ֆունկցիոնալության և խոցելիությունների ցուցիչների (IOC) վերլուծություն, որը կօգնի պաշտպանվել հնարավոր հարձակումից:

Առանձին հրապարակմամբ կներկայացնենք հարձակման հավելյալ տեխնիկական մանրամասները։

Հարձակման ընդհանուր նկարագիր

• Ֆայլի անվանումը՝ haytararutyun.doc
• SHA-256 Հեշ՝ fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce
• Առաքման եղանակ. վնասաբեր ծրագիրն առաքվում է Word փաստաթղթի միջոցով (haytararutyun.doc), որը պարունակում է VBA մակրո կոդ:

VBA մակրո ֆունկցիոնալություն. Փաստաթղթում VBA մակրո կոդը կատարում է հետևյալ գործողությունները.

• Ներբեռնում է ֆայլ (ekeng-mta.exe) հետևյալ սերվերից (hxxps[://]karabakhtelekom[.]com/api/ekeng-mta[.]exe)
• Գործարկում է ներբեռնված ֆայլը՝ օգտագործելով cmd /c C:\users\Public\Downloads\ekeng-mta.exe հրամանը:
• Պատճենում է ֆայլը (Server.bat) մեկ այլ վայրում:
•  Գործարկում է Server.bat-ը vbHide հատկանիշով:
• Կապվում է hեռակառավարման (C2) սերվերի հետ (139.84.231.199) PowerShell-ի միջոցով:
• Օգտագործում է գաղտնագրված հրամաններ՝ պաշտպանական համակարգերը շրջանցելու համար:
• Ներբեռնում է լրացուցիչ ֆայլեր, ներառյալ mta.ps1-ը և mta.dll-ը, որոնք կապված են UrbanBishop տրոյական ծրագրի հետ:

UrbanBishop:

• Վնասաբեր ծրագիրը ներառում է հարձակման կոդ, որը հայտնի է որպես UrbanBishop, որն օգտագործվում է shellcode-ի կատարման համար:
• UrbanBishop-ը պոտենցիալ բաց կոդով գործիք է Remote Access և Trojan (RAT) գործառույթների համար:

Հարձակման ցուցիչներ (IOC)

Վնասակար ֆայլեր.

haytararutyun.doc

• SHA-256 Hash:fa406c532ea3d7cae05411df0ed5a541630a07f26a247a22d907f424397c72ce

add-mta.exe

•  SHA-256 Հեշ՝ 3a679cb98f88d7d6bd84dcfe9717238c08c05942055bdb798103224e7f2f2ca9

mta.ps1

•  SHA-256 Հեշ՝ 60416198c9b2105c9204638fd00e154e2f5c32ba45f5a8ae2671bae565c062e9

mta.dll

•  SHA-256 Հաշ՝ be4bf8ae8ad02363ec3a3a0a932a439eab48c9427375038d121421806be32051

C2 Սերվեր:

• IP հասցե՝ 139.84.231.199
• Գտնվելու վայրը՝ Աֆրիկա (հավանաբար VPS սերվեր)

Դոմեն:

• Դոմենի անվանումը՝ karabakhtelekom.com
•  Ռեգիստրար՝ eNom, LLC
• Ստեղծման ամսաթիվ՝ 2023-09-04
• Թարմացվել է 2023-09-11
• Ներկայումս clientHold կարգավիճակում է

Չեզոքացման ռազմավարություններ

Ելքային կապերի վերահսկողություն.

• Իրականացնել ելքային կապերի մոնիտորինգ PowerShell user-agent տողերով:

Սահմանափակում ցանցային մակարդակում.

• Սահմանափակել մուտքը դեպի IP հասցե 139.84.231.199 ցանցի շերտում:

Գործընթացի մոնիտորինգ.

• Վերահսկել համակարգչում գործարկվող child process-ները, մասնավորապես՝ mta.dll-ը:

Հեշ արժեքի ստուգում.

Ստուգեք կարևոր ֆայլերի հեշ արժեքները.

• mta.ps1 (SHA-256: 72EF210030F0F470433A6AACC66DFBE4CBFDAD5C)
• mta.dll (SHA-256: F5145EC20482B39B727E980169DA92E36D4C5A6E)

Էլ-փոստի պաշտպանություն.

• Արգելափակել aacpress.net տիրույթից ստացված էլ. նամակները՝ հետագա հարձակումները կանխելու համար:

Եզրակացություն

Սպառնալիքների վերլուծության այս զեկույցը նկարագրում է հարձակում, որը թիրախավորում է «Արմենիա» միջազգային օդանավակայանները և Հայաստանի պետական ​​մարմինները՝ օգտագործելով MS Word-ի փաստաթուղթ՝ ներկառուցված VBA մակրո կոդով: Չարամիտ ծրագիրը գործառույթները ներառում են վնասակար հարձակողական ծրագրերի ներբեռնումը և գործարկումը և կապը հեռակառավարման C2 սերվերի հետ և UrbanBishop-ի օգտակար բեռի օգտագործումը: Այս սպառնալիքը չեզոքացնելու համար CyberHUB-AM թիմը առաջարկում է պաշտպանողական ռազմավարություններ՝ ընդգծելով ակտիվ մոնիտորինգի և ցանցի անվտանգության միջոցառումների կարևորությունը: Անվտանգության թիմերին կոչ ենք անում զգոն լինել և համապատասխանաբար թարմացնել իրենց պաշտպանությունը: