ESET: تحليل لمكونات Zebrocy الجديدة

تعمل Cybergroup Sednit منذ عام 2004 على الأقل وتظهر بانتظام في الأخبار. يُعتقد أن Sednit (المعروفة باسم Fancy Bear) وراء حملة اللجنة الوطنية الديمقراطية الأمريكية قبل انتخابات عام 2016 ، والوكالة العالمية لمكافحة المنشطات (WADA) ، وشبكة TV5Monde التلفزيونية ، وهجمات أخرى. تتضمن ترسانة المجموعة مجموعة من الأدوات الخبيثة ، بعضها موثق في تقرير سابق .

أصدرنا مؤخرًا تقريرًا عن LoJax ، وهو جذر UEFI يرتبط أيضًا بـ Sednit وكان يستخدم في الهجمات في البلقان ، في وسط وشرق أوروبا.

في أغسطس 2018 ، نشر مشغلو Sednit عنصرين جديدين من Zebrocy ، ومن الآن فصاعدًا رأينا طفرة في استخدام هذه الأداة. Zebrocy هي عبارة عن مجموعة من محمل الإقلاع ، وأقراص السحب الخلفية. التنزيلات وأجهزة السحب مخصصة للذكاء ، في حين توفر النوافذ الخلفية الثبات وبرامج التجسس. هذه المكونات الجديدة لها طريقة غير معتادة في اختبار البيانات المجمعة من خلال بروتوكولي خدمة البريد SMTP و POP3.


ضحايا الأدوات الجديدة يشبهون الضحايا المذكورين في منشورنا السابق حول Zebrocy ، وكذلك في Kaspersky Lab . أهداف الهجمات هي في آسيا الوسطى ووسط وشرق أوروبا ، وهي في الأساس السفارات ووزارات الخارجية والدبلوماسيون.

مراجعة



الشكل 1. رسم تخطيطي لمكونات Zebrocy القديمة والجديدة

لمدة عامين ، استخدمت cybergroup Sednit رسائل البريد الإلكتروني للتصيد الاحتيالي كمتجه للعدوى من أجل Zebrocy (الخياران 1 و 2 في الجدول أعلاه). بعد التوصل إلى حل وسط ، استخدم المهاجمون مختلف محمل الإقلاع من المرحلة الأولى لجمع معلومات عن الضحية ، وفي حالة الاهتمام ، قاموا بعد بضع ساعات أو أيام بنشر أحد الخلفية في المستوى الثاني.

مخطط حملة Zebrocy الكلاسيكية هو الحصول على الضحية كأرشيف في مرفق الرسالة. يحتوي الأرشيف على ملفين ، أحدهما مستند غير ضار ، والثاني ملف قابل للتنفيذ. يحاول المهاجمون خداع الضحية عن طريق تسمية الملف الثاني باسم نموذجي للمستند أو الصورة وباستخدام "الامتداد المزدوج".

في الحملة الجديدة (الخيار 3 في الجدول) ، يتم استخدام مخطط أكثر تعقيدًا - سنقوم بتحليله أدناه.

دلفي قطارة


أول ثنائي هو قطارة دلفي ، وهو أمر غير معتاد بالنسبة لحملة Zebrocy. في معظم الحالات ، يكون محمل الإقلاع مثبتًا على نظام الضحية في المرحلة الأولى من الهجوم.

مع مساعدة من عدة طرق ، يعمل القطارة على تعقيد الهندسة العكسية. في العينات التي تم فحصها ، يستخدم كبد الكلمة الرئيسية للإشارة إلى بداية ونهاية العناصر الرئيسية ، كما هو موضح أدناه.

$ yara -s tag_yara.yar SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe find_tag SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe 0x4c260:$tag: l\x00i\x00v\x00e\x00r\x00 0x6f000:$tag: liver 0x6f020:$tag: liver 0x13ab0c:$tag: liver 

تبحث قاعدة YARA أعلاه عن سلسلة الكبد . يتم استخدام السطر الأول من الكبد في الشفرة ، لكنه لا يفصل أي شيء ، بينما يشارك الآخرون واصف المفاتيح ، والصورة (يظهر الشكل السداسي في الأسفل) والمكون المشفر في القطارة.

 $ hexdump -Cn 48 -s 0x6f000 SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe 0006f000 6c 69 76 65 72 4f 70 65 6e 41 69 72 33 39 30 34 |liverOpenAir3904| 0006f010 35 5f 42 61 79 72 65 6e 5f 4d 75 6e 63 68 65 6e |5_Bayren_Munchen| 0006f020 6c 69 76 65 72 ff d8 ff e0 00 10 4a 46 49 46 00 |liver……JFIF.| 

أولاً ، يتم حفظ البيانات في صورة باسم الملف C: \ Users \ public \ Pictures \ scanPassport.jpg ، إذا كان هذا الملف غير موجود بالفعل.

ومن المثير للاهتمام ، أن ملف القطارة يسمى SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe ، مما يشير أيضًا إلى مخطط تصيد مرتبط بجوازات السفر ومعلومات السفر. قد يعني هذا أن المشغل قد يعرف الغرض من رسالة التصيد. يفتح القطارة الصورة ، وإذا كان الملف موجودًا بالفعل ، يتوقف عن التنفيذ. بخلاف ذلك ، يقوم بفتحها ويستقبل مقبض المفتاح OpenAir39045_Bayren_Munchen . الصورة مفقودة ، على الرغم من أن التنسيق صحيح - انظر الشكل أدناه.


الشكل 2. ScanPassport.jpg

يحتوي سطر الواصف الرئيسي على Bayren_Munchen - على الأرجح إشارة إلى فريق كرة القدم FC Bayern Munich. في أي حال ، فإن محتوى الواصف غير مهم ، ولكن طوله ، حيث يمكنك الحصول على مفتاح XOR لفك تشفير المكون.

للحصول على مفتاح XOR ، يبحث القطارة عن آخر كلمة في الكبد ويقوم بوضع مسافة بادئة عليها في طول واصفها. طول المفتاح XOR هو 27 (0x1b) بايت (مماثلة لطول واصف المفتاح).

باستخدام مفتاح XOR وحلقة بسيطة ، يقوم المشفر بفك تشفير الجزء الأخير - المكون المشفر الموجود مباشرة بعد العلامة الأخيرة في نهاية الملف. لاحظ أن رأس MZ للمكون القابل للتنفيذ يبدأ فورًا بعد الكلمة الرئيسية للكبد ، ويتم الحصول على المفتاح XOR من جزء رأس PE ، والذي يكون عادةً تسلسلًا عند 0x00 بايت يتم استردادها بعد فك تشفير المكون ، كما هو موضح في الشكل أدناه.


الشكل 3. مكون مشفر (يسار) مقابل مكون مشفر (يمين)

تتم إعادة تعيين المكون إلى C: \ Users \ Public \ Documents \ AcrobatReader.txt وتحويل الملف إلى C: \ Users \ Public \ Documents \ AcrobatReader.exe .

ربما تكون هذه محاولة لتجاوز حماية جهاز الكمبيوتر ، الذي يولد تحذيرًا عندما يقوم الملف الثنائي بمسح الملف بالملحق .exe إلى القرص.

مرة أخرى ، يحاول المشغل خداع الضحية ، وإذا أولت الانتباه إلى الدليل ، فسوف ترى الصورة كما في الشكل التالي:


الشكل 4. المكون يشبه ملف PDF

بشكل افتراضي ، يقوم Windows بإخفاء الامتداد ، ويستخدمه مهاجم يقوم بتفريغ الملف القابل للتنفيذ في مجلد "المستندات" ويخفيه كملف PDF.

أخيرًا ، يقوم القطارة بتنفيذ المكون المستضاف والخروج.

MSIL Mail Loader


المكون الذي تم تسليمه من القطارة السابقة هو لودر MSIL المحمل بـ UPX. لفهم أفضل ، يتم وصف منطق العملية أدناه ، ثم يتم إعطاء التعليمات البرمجية المصدر ويتم النظر في مخطط التحكم.

تستدعي الطريقة الرئيسية " تشغيل" لبدء تشغيل التطبيق ، مما يؤدي إلى إنشاء Form1 .

 {   Application.EnableVisualStyles();   Application.SetCompatibleTextRenderingDefault(false);   Application.Run((Form) new Form1()); } 

Form1 يعين العديد من المتغيرات ، بما في ذلك مؤقت جديد لسبعة منهم.

    this.start = new Timer(this.components);  this.inf = new Timer(this.components);   this.txt = new Timer(this.components);   this.subject = new Timer(this.components);   this.run = new Timer(this.components);   this.load = new Timer(this.components);   this.screen = new Timer(this.components); 

يحتوي الكائن Timer على ثلاثة حقول مهمة:

  • ممكّن: يشير إلى حالة المؤقت المُمكّنة.
  • الفاصل الزمني: الوقت بين الأحداث بالميلي ثانية
  • حدد: يتم تنفيذ رد الاتصال بعد انتهاء الموقت وإذا كان الموقت قيد التشغيل

يشار إلى الحقول على النحو التالي:

   this.start.Enabled = true;   this.start.Interval = 120000;   this.start.Tick += new EventHandler(this.start_Tick);   this.inf.Interval = 10000;   this.inf.Tick += new EventHandler(this.inf_Tick);   this.txt.Interval = 120000;   this.txt.Tick += new EventHandler(this.txt_Tick);   this.subject.Interval = 120000;   this.subject.Tick += new EventHandler(this.subject_Tick);   this.run.Interval = 60000;   this.run.Tick += new EventHandler(this.run_Tick);   this.load.Interval = 120000;   this.load.Tick += new EventHandler(this.load_Tick);   this.screen.Interval = 8000;   this.screen.Tick += new EventHandler(this.screen_Tick); 

لكل كائن ، يتم تعيين الفاصل الزمني الفاصل الزمني من 8 ثوان إلى دقيقتين. يتم إضافة رد اتصال إلى معالج الأحداث. لاحظ أن البداية فقط تعيّن القيمة على صحيح بالنسبة ممكّن ، مما يعني أنه بعد دقيقتين (12000 ميلي ثانية = 120 ثانية) ، سيتم استدعاء start_Tick بواسطة معالج الأحداث.

    private void start_Tick(object sender, EventArgs e)   {       try       {           this.start.Enabled = false;           Lenor lenor = new Lenor();           this.dir = !Directory.Exists(this.label15.Text.ToString()) ? this.label16.Text.ToString() + "\" : this.label15.Text.ToString() + "\";           this.att = this.dir + "audev.txt";           this._id = lenor.id(this.dir);           this.inf.Enabled = true;       } 

علاوة على ذلك ، توضح كل طريقة سلوكًا متطابقًا - تقوم بتغيير القيمة Enabled إلى false في البداية. يتم تنفيذ هذه الطريقة ، ثم تقوم بتغيير القيمة Enabled للكائن التالي إلى true ، والذي ينشط الموقت التالي. يتم استخدام المتغير Enabled من قِبل المشغل لإنشاء شيء يشبه جهاز الحالة - إذا لم تنجح الوظيفة ، تكرر الآلية تنفيذها حتى تتلقى نتيجة إيجابية. يمكن استخدام الوقت الفاصل بين تنفيذ وظيفتين كمحاولة لتجاوز الحماية من الفيروسات عن طريق إضافة تأخير.

الآن ، بعد وصف بنية كل طريقة ، ننتقل إلى خوارزمية التحكم. فيما يلي نظرة عامة على الخطوات في شكل تبادل رسائل البريد الإلكتروني بين صناديق البريد.


الشكل 5. تبادل البريد الإلكتروني

يتحقق Malvar من وجود مسار محدد يستخدم لتفريغ كل من الملفات أثناء التنفيذ. إن أمكن ، استخدم C: \ Users \ Public \ Videos \ ، وإلا C: \ Documents and Settings \ All Users \ Documents \ كدليل افتراضي. يرجى ملاحظة أن المسار الثاني خاص بـ Windows XP ، في حين أن المسار الأول خاص بنظام التشغيل Vista وأعلى.

يتم إنشاء معرف 16 بايت عن طريق سلسلة الرقم التسلسلي لوحدة التخزين C: واسم المستخدم ؛ يتم تخزينه في ملف audev.txt .

يقوم محمل الإقلاع بجمع المعلومات التالية:
- مسار التطبيق الحالي
- إصدار نظام التشغيل
- دليل النظام
- مجال المستخدم
- اسم السيارة
- اسم المستخدم
- المنطقة الزمنية الحالية
- التاريخ الحالي
- قائمة محركات الأقراص المنطقية والمعلومات حول كل منها (نموذج ، رقم تسلسلي ، الخ)
- سرد الدلائل C: \ Program Files \ و C: \ Program Files (x86) \
- قائمة العمليات

يتم تخزين هذه البيانات في الملف C: \ Users \ Public \ Videos \ si.ini ويتم إرسالها بحرف في المرفق عبر SMTPS باستخدام المنفذ الافتراضي 465. يحتوي نص الرسالة على سطر SI (والذي ، ربما يعني "معلومات النظام") ، مستلم الرسالة هو sym777. g@post.cz . للتبادل الكامل للمعلومات ، تتم الإشارة إلى موضوع الحروف كمعرّف .

قرر المشغل إنشاء عدة عناوين احتياطية ويرسل الرسالة نفسها إلى مستلمين آخرين ، على الأرجح ، في حالة عدم عمل العنوان الأساسي. بعد إرسال الرسالة ، يحذف أداة تحميل التشغيل ملف si.ini .

أثناء التشغيل الأول للبرامج الضارة ، يتم إنشاء ملف set.txt مع النص {System_Parametrs = 10} بالداخل وإدخال في مفتاح تسجيل Windows.


الشكل 6. استمرار في التسجيل

تؤخذ لقطة شاشة واحدة تحت اسم scx.bin من جهاز الكمبيوتر الخاص بالضحية وترسل عبر مرفق بالبريد الإلكتروني مع النص SC (الذي قد يعني لقطة شاشة) في نص الرسالة.

بعد الإرسال ، يتصل البرنامج الضار بصندوق البريد kae.mezhnosh@post.cz باستخدام بروتوكول POP3 عبر SSL (المنفذ 995) ويبحث عن الرسائل ذات الموضوع الذي يطابق المعرف . في حالة وجود مثل هذه الرسالة ولم يكن النص فارغًا ، تقوم البرامج الضارة بفك تشفيرها وترسل رسالة بها رسالة نصية جيدة إلى العنوان sym777.g@post.cz . يتم مسح محتويات الرسالة المستلمة مسبقًا وتحليلها على النحو التالي:

 string[] strArray = this._adr.Replace("B&", "").Replace("Db", "").Split('%');       string str1 = strArray[0];       string str2 = strArray[1]; 

يتم الحصول على سطرين: الأول هو كلمة المرور ، والثاني هو اسم المستخدم لعنوان البريد.

يتم استخدام بيانات اعتماد جديدة للاتصال بصندوق البريد الذي تم استلامه ، والبحث فيه عن رسالة ذات موضوع يطابق معرف malvari ، وتطبيق مع السلسلة audev في اسم الملف. في حالة استيفاء الشرطين ، يقوم البرنامج الضار بتخزين التطبيق وحذف الرسالة من الخادم.

يتم إرسال سجل الرسائل إلى sym777.g@post.cz ، والرسائل المستلمة من خلال POP3 تأتي من المستلم مع بيانات المستخدم المستلمة مؤخرًا.

مخطط الهجوم يعقد التحقيق. أولاً ، إذا كان لديك أداة تحميل bootload بأحرف ، فلا يمكنك الاتصال بصندوق البريد الذي يحتوي على الخطوة التالية.

ثانياً ، إذا تلقيت بيانات اعتماد للبريد ، فلا يزال بإمكانك الحصول على الحمولة التالية لأنه يتم حذفها بعد الاستلام.

عندما يكتب أداة تحميل التشغيل بنجاح المرفق إلى القرص ، يرسل رسالة في البريد مع okey2 في النص ومرفق l.txt الذي يحتوي على 090 . يتم الكتابة على نفس الملف باستخدام الأصفار ، ويحاول البرنامج الضار الحصول على رسالة أخرى. إذا كان هذا يعمل ، يتم إرسال ملف l.txt مع okey3 في النص. محتويات المرفق هي الدليل واسم الملف. ينقل Malvar ملف audev إلى هذا العنوان. أخيرًا ، يرسل البرنامج الضار رسالة بريد إلكتروني بها okey4 في النص و l.txt في المرفق. يؤدي هذا إلى تشغيل الملف القابل للتنفيذ ، و audev.exe ، والتحقق من وجود خط audev في قائمة العمليات.

   Process.Start(this.rn);   foreach (Process process in Process.GetProcesses())   {       if (process.ProcessName.Contains("audev")) } 

إذا تم العثور على هذا الاسم ، فسيتم إرسال الرسالة الأخيرة ، والتي تحتوي على النص okey5 و l.txt في المرفق. أخيرًا ، يتم حذف l.txt و set.txt ، ويتم حذف مفتاح تسجيل Windows الذي تم إنشاؤه ، وينتهي البرنامج.

دلفي تنزيل البريد


يتمثل الدور الرئيسي لمحمل الإقلاع في تقييم أهمية وجود نظام معرض للخطر ، وإذا بدا الأمر مثيراً للاهتمام ، فقم بتحميل وتنفيذ أحدث محمل إقلاع Zebrocy.

يتم كتابة الملف الثنائي في دلفي وتعبئته باستخدام UPX. يمكن العثور على تعريف كامل لكائن TForm1 في القسم بموارده ، وهو يعرض بعض معلمات التكوين المستخدمة. تصف الأقسام التالية تهيئة محمل الإقلاع والقدرات وبروتوكول الشبكة.

التهيئة


أولاً ، فك تشفير مجموعة السلاسل التي هي عناوين البريد الإلكتروني وكلمات المرور. يطبق المشغل خوارزمية تشفير AES ECB . يتم فك تشفير كل سطر في مكان سداسي عشري ، حيث تتوافق وحدات البايت الأربع الأولى مع الحجم النهائي للخط الذي تم فك تشفيره (قد تحتوي الخطوط المشفرة في النهاية على بعض المسافات البادئة). يحتوي كائن TForm1 على مفتاحين AES: الأول يُستخدم لتشفير البيانات ، والثاني يُستخدم لفك تشفيرها.

يستخدم المشغل عناوين البريد وكلمات المرور لإرسال أوامر إلى malvari ، وكذلك للحصول على المعلومات التي يتم جمعها من جهاز الكمبيوتر الخاص بالضحية. يتم تطبيق بروتوكولي الاتصالات SMTP و POP3 - كلاهما عبر SSL. لاستخدام OpenSSL ، يسقط البرنامج الضار ويستخدم مكتبتين ديناميكيتين لـ OpenSSL: libeay32.dll (98c348cab0f835d6cf17c3a31cd5811f86c0388b) و ssleay32.dll (6d981d71895581dfb103170486b8614f7f203bdc) .


الشكل 7. خصائص DLL OpenSSL

يرجى ملاحظة أن جميع الملفات يتم إلقاؤها في دليل عمل البرامج الضارة : C: \ Users \ Public \ .

يتم توفير الثبات أثناء التنفيذ الأول لبرنامج malvari من خلال تقنية البرمجة النصية المعروفة في البرنامج النصي للدخول. يتم إنشاء ملف مع البرنامج النصي لتسجيل. وكتابة عدة أسطر من كائن TForm1 . البرنامج النصي النهائي هو كما يلي:

 reg add HKCU\Environment /v "UserInitMprLogonScript" /t REG_EXPAND_SZ /d "C:\Users\Public\Videos\audev.exe" /f del C:\Users\Public\Videos\registr.bat exit 

أخيرًا وليس آخرًا ، تقوم البرامج الضارة بإنشاء معرف ، بنفس طريقة إنشاء ثنائيات Zebrocy الموضحة مسبقًا. فإنه يحصل على اسم المستخدم باستخدام GetUserNameW Windows API ويضيف الرقم التسلسلي لمحرك الأقراص C: \ إلى البداية.

الاحتمالات


نظرًا لوجود العديد من الشروط والإجراءات الخاصة بجمع المعلومات حول الضحية ، فيما يلي وصف لقدراتها المختلفة. يتم تخزين تكوين المسح الضوئي في كائن TForm1 ، حيث يتم تجميع سبع إمكانيات مختلفة لجمع المعلومات من كمبيوتر الضحية.

بدءًا من عملية الفحص البسيطة ، تتعلق المعلومات الأولى التي يمكن أن تحصل عليها البرامج الضارة بالملفات ذات الامتدادات التالية: .docx و .xlsx و .pdf و .pptx و .rar و. zip و .jpg و .bmp و .tiff . لكل ملف موجود على القرص ، يستقبل البرنامج الضار المسار الكامل وتاريخ التعديل الأخير. يتم تشفير هذه المعلومات باستخدام مفتاح AES ، الذي تحدثنا عنه مسبقًا ، ويتم تخزينه في ملف 0.txt . يهدف فحص آخر إلى الامتدادات .dat و .json و .db ، وكما في الحالة السابقة ، يحصل على المسار الكامل وآخر تاريخ تم تغيير الملف. ثم يقوم بتشفيرها وتخزينها في ملف 57.txt .

تعد قائمة العمليات قيد التشغيل إحدى ميزات malvari الأخرى التي تتيح لك تخزين المعلومات في ملف 08.txt . يبدو مثل هذا:

 ======Listing_of_processes======= [System Process] System smss.exe csrss.exe wininit.exe csrss.exe winlogon.exe services.exe lsass.exe […] 

يجمع ملف i.txt معلومات عامة حول كمبيوتر الضحية ، وكذلك بعض المعلومات حول malvari (رقم الإصدار والمسار الذي يتم تنفيذه به). انظر المثال أدناه:

 v7.00 C:\Users\Public\Videos\audev.txt ============================================ Log_Drivers: C: fixed; size= 102297 Mb, free=83927 Mb S/N: [redacted] ================================================== OSV: Windows 7 WinType: 32 WinDir: C:\Windows Lang: English (United States) TZ: UTC1:0 Romance Standard Time HostN: [redacted]-PC User: [redacted] ===============S_LIST===================== C:\Program Files\Common Files C:\Program Files\desktop.ini C:\Program Files\DVD Maker C:\Program Files\Internet Explorer C:\Program Files\Microsoft.NET C:\Program Files\MSBuild C:\Program Files\Reference Assemblies C:\Program Files\Uninstall Information C:\Program Files\Windows Defender […] 

يمكن أن تلتقط البرامج الضارة لقطات شاشة ، يتم حفظها بالتنسيق 2 \ [YYYY-mm-dd HH-MM-SS] -Image_001.jpg ، وتولد ملفًا آخر 2 \ sa.bin ، مليء بقائمة المسارات إلى ملفات جميع لقطات الشاشة التي تم التقاطها. الخيار الأخير هو سرد مكونات الشبكة وبيانات النظام ، والنتيجة مكتوبة بـ 4.txt .

بروتوكول الشبكة


تعد أداة تحميل بريد دلفي إضافة جديدة نسبيًا إلى مجموعة أدوات Zebrocy ، فهي توفر طريقة جديدة لاستكشاف البيانات وتلقي الأوامر من المشغل. يعد Exfiltration بسيطًا للغاية ، ولكنه يسبب الكثير من الضوضاء على الشبكة ، حيث يتم إرسال الملفات المشفرة التي تم جمعها مسبقًا عبر SMTPS ، كل إصدار من الملفات هو ثلاث مرات.



موضوع الرسالة هو معرف الضحية ، ويتم إرسال الملف كمرفق مع كلمة أساسية متوافقة مع محتويات الملف. يرجى ملاحظة أنه لكل ملف هناك نسخة مشفرة يتم إرسالها.



كما يتم إرسال لقطات وملفات كلا المسحين ، ولكن باستخدام كلمات رئيسية مختلفة.




الشكل 8. مثال على رسالة مع البيانات المرسلة

بينما يتم استخدام SMTP لتسهيل البيانات ، يتم توصيل الملف الثنائي بعنوان البريد الإلكتروني tomasso25@ambcomission.com عبر POP3 وتحليل الرسائل. يحتوي نص الرسالة على العديد من الكلمات الرئيسية التي يتم تفسيرها بواسطة البرامج الضارة كأوامر.



بعد التنفيذ ، يتم إرسال سجل المصحح ونتائج الأوامر (إن وجدت) إلى المشغل. على سبيل المثال ، بعد أمر الفحص ، يتلقى المشغل ملفًا يحتوي على قائمة بالملفات ذات الملحقات المتطابقة مع كل ملف من هذا القبيل.

على الرغم من أن محمل الإقلاع هذا لديه وظائف مستتر ، إلا أنه يقوم بإلقاء محمل الإقلاع على النظام في دلفي ، المرتبط بالفعل بهذه المجموعة ، والتي وصفناها في مقالة سابقة حول Zebrocy.

الخاتمة


في الماضي ، رأينا بالفعل تقاطع Zebrocy والبرامج الضارة التقليدية في Sednit. لقد وقعنا في لعبة Zebrocy وهي تتخلى عن الباب الخلفي الرئيسي لـ Sednit في نظام XAgent ، لذلك مع درجة عالية من اليقين نسند تأليف Zebrocy لهذه المجموعة الإلكترونية.

ومع ذلك ، كشف تحليل الملفات الثنائية وجود أخطاء على مستوى اللغة ، وكذلك التطوير ، مما يشير إلى مستوى مختلف من مؤهلات المؤلفين. يستخدم كل من محمل الإقلاع بروتوكولات البريد لاستكشاف البيانات ولديه آليات مماثلة لجمع نفس المعلومات. ومع ذلك ، فإنها تخلق الكثير من الضوضاء على الشبكة والنظام ، وإنشاء العديد من الملفات وإرسالها. في عملية تحليل أداة تحميل البريد في دلفي ، بدا لنا أن بعض الوظائف قد اختفت ، لكن لا تزال الأسطر موجودة في الملف الثنائي. يتم استخدام مجموعة الأدوات هذه بواسطة فريق Sednit ، لكننا نعتقد أنه يتم تطويرها بواسطة فريق آخر - أقل خبرة مقارنة بمبدعي مكونات Sednit التقليدية.

مكونات Zebrocy هي إضافة إلى مجموعة أدوات Sednit ، وقد تفسر الأحداث الأخيرة الاستخدام الفعال المتزايد لثنائيات Zebrocy بدلاً من malvari التقليدية.

مؤشرات التسوية



أسماء الملفات ، SHA-1 ، والكشف عن منتجات ESET

1. SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe - 7768fd2812ceff05db8f969a7bed1de5615bfc5a - Win32 / Sednit.ORQ
2. C: \ المستخدمون \ الجمهور \ الصور \ scanPassport.jpg - da70c54a8b9fd236793bb2ab3f8a50e6cd37e2df
3. C: \ Users \ Public \ Documents \ AcrobatReader. {Exe، txt} - a225d457c3396e647ffc710cd1edd4c74dc57152 - MSIL / Sednit.D
4. C: \ المستخدمون \ الجمهور \ الفيديو \ audev.txt - a659a765536d2099ecbde988d6763028ff92752e - Win32 / Sednit.CH
5.٪ TMP٪ \ Indy0037C632.tmp - 20954fe36388ae8b1174424c8e4996ea2689f747 - Win32 / TrojanDownloader.Sednit.CMR
6.٪ TMP٪ \ Indy01863A21.tmp - e0d8829d2e76e9bb02e3b375981181ae02462c43 - Win32 / TrojanDownloader.Sednit.CMQ

البريد الإلكتروني

carl.dolzhek17@post.cz
shinina.lezh@post.cz
P0tr4h4s7a@post.cz
carl.dolzhek17@post.cz
sym777.g@post.cz
kae.mezhnosh@post.cz
tomasso25@ambcomission.com
kevin30@ambcomission.com
salah444@ambcomission.com
karakos3232@seznam.cz
rishit333@ambcomission.com
antony.miloshevich128@seznam.cz

Source: https://habr.com/ru/post/ar437236/


All Articles