秋季加剧：RTM黑客如何代表政府机构对银行和企业发起大规模攻击

今年秋天，Group-IB记录了向金融机构和企业分发的大量恶意软件。 攻击者从俄罗斯政府机构的虚假邮件地址发送了11,000多个信件-所有信件都包含一个RTM木马，旨在从远程银行服务（RBS）和支付系统中窃取资金。 平均而言，这种类型的成功盗窃给攻击者带来了约110万卢布。

文字：Semen Rogachev，IB恶意软件分析专家组

从9月11日开始， Group-IB威胁情报系统 （网络情报）记录了向俄罗斯银行，工业和运输公司发送的大量邮件：2311年10月，2311年10月，11月4768和12月784。 时事通讯是“波浪”，高峰发生在9月24日和27日-729和620个字母。 总共，从9月到12月初，黑客从政府机构伪造的2,900个不同的电子邮件地址中发送了11,073封信。 找到约900个与发件人地址相关的不同域。

在邮件列表中，在发件人的地址中，将出现以下与州和市政组织相关的域名：

• 14.rospotrebnadzor.ru-萨哈共和国消费者权益保护和人类福祉监督联邦服务办公室
• 22.rospotrebnadzor.ru-阿尔泰地区消费者权益保护和人类福祉监督联邦服务办公室
• 33.rospotrebnadzor.ru-弗拉基米尔州消费者权益保护和人类福祉监督联邦服务办公室
• 37.rospotrebnadzor.ru-伊万诺沃州消费者权益保护和人类福祉监督联邦服务办公室
• 38.rospotrebnadzor.ru-伊尔库茨克州联邦消费者权益保护和人类福祉监督服务办公室
• 39.rospotrebnadzor.ru-加里宁格勒地区联邦消费者权益保护和人类福祉监督服务办公室
• 42.rospotrebnadzor.ru-克麦罗沃地区联邦消费者权益保护和人类福祉监督局
• 47.rospotrebnadzor.ru-列宁格勒州消费者权益保护和人类福祉监督联邦服务办公室
• 89.fsin.su-雅马洛涅涅茨自治区的俄罗斯联邦监狱
• engels-edu.ru-英格斯基区行政管理教育委员会
• enis.gosnadzor.ru-生态，技术和核监督联邦机构罗斯蒂克纳德佐尔·叶尼塞政府
• fbuz29.rospotrebnadzor.ru-阿尔汉格尔斯克州卫生与流行病学中心
• fcao.ru-联邦技术影响分析与评估中心
• fguz-volgograd.ru-伏尔加格勒地区卫生和流行病学中心
• gov39.local-加里宁格勒州政府
• mcx-samara.ru-萨马拉地区Rosselkhoznadzor办公室
• minsoc-buryatia.ru-布里亚特共和国社会保护部
• minsoc26.ru-斯塔夫罗波尔地区人口劳工和社会保护部
• minzdravsakhalin.ru-萨哈林州卫生部
• mosoblsud.ru-莫斯科地方法院
• prokuratura.omsk.ru-鄂木斯克州检察院
• rcro.tomsk.ru-托木斯克地区教育发展中心（地区国家预算机构）
• rostrud.ru-联邦劳工和就业服务局。
• rpn.gov.ru-Rosprirodnadzor-联邦自然资源监督局。
• zdrav.spb.ru-圣彼得堡卫生委员会的官方网站。
• zsib.gosnadzor.ru-生态，技术和核监督联邦服务处ROSTEKHNADZOR。

一些电子邮件具有“域密钥标识符邮件”（“ DKIM”）标头。 “ DKIM”是一种电子邮件身份验证方法，可以防止伪造发件人地址，并允许您确认从指定的域发送电子邮件的事实。 例如：


DKIM检查的结果：

电路如何工作

邮件列表中的信件伪装成重要文件（例​​如，信件的主题是“星期四发送”，“备忘”，“ 8月至9月付款”，“文件副本”等）。 字母的文本与主题相对应，例如：


或者：


一个特征是，发件人地址和信件的返回地址之间不匹配。 信件的回信地址已在公共领域注册。

例如：


或


每个字母都有一个附件，附件是一个包含可执行文件的档案。 解压后的文件带有“ PDF”图标-文件，这还会误导用户。 启动解压缩的文件后，计算机被感染。

Trojan RTM出现在2015年末-2016年初。 它旨在与远程银行和支付系统一起使用。 RTM是模块化的，其模块可替换详细信息，读取按键，替换DNS服务器和安全证书，获取屏幕截图等。

感染过程

• 启动后，RTM解压缩“ DLL”库并将其保存到“％TEMP％”文件夹，然后将其加载到当前进程的地址空间中。
• 解压缩后，将“ .tmp”文件的解压缩内容复制到“％ProgramData％\ random_folder \ random_name”。
• 创建一个名为“ Windows Update”的任务，以运行通过“ rundll32.exe”在上一步中复制的文件。
• 如果任务创建失败，则将Windows Update密钥（值Rundll32.exe％ProgramData％\ random_folder \ random_name DllGetClassObject host）添加到注册表项“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \”。 这样，每次用户登录系统时，都会启动“％ProgramData％”目录中的文件。

描述和功能

• 使用改良的“ RC4”算法对“ RTM”中的字符串进行加密，然后在使用前将其解密。
• 启动后，它将检查驱动器“ C”上是否存在文件和目录“ cuckoo”，“ fake_drive”，“ strawberry”，“ tsl”，“ targets.xls”，“ perl”，“ wget.exe”，“ * python *” ，“ Myapp.exe”，“ self.exe”，“ vboxservice.exe”，“ python.exe”。 如果找到，则关闭。
• 检查是否存在ESET防病毒软件。 如果已安装，它将用零填充其许可证文件，然后将其删除。
• 开始跟踪键盘上的击键。 如果活动窗口是由Mozilla Firefox或Internet Explorer浏览器创建的，则页面URL将添加到从键盘接收的数据中。
• 监视并保存到达剪贴板的数据。 它们被添加了从中复制信息的窗口的名称以及时间。
• 监视类名称与tpanel和obj_button匹配的项目的左键单击。 当您单击这些元素时，它将创建一个屏幕截图并将其发送到远程服务器。
• 检查浏览器“ Internet Explorer”和“ Mozilla Firefox”打开的选项卡的地址，以收集有关与银行互动的信息，接收选项卡的当前“ URL”，并将其与表1中的值进行比较。如果匹配，则将相应的信息发送到“ C＆C”服务器。

• 查看Internet Explorer，Mozilla Firefox和Google Chrome浏览器的浏览历史记录，并在其中查找有关银行站点访问的信息。 如果接收到的数据与表1中的数据一致，则它将相应的消息发送到“ C＆C”服务器。

• 检查正在运行的窗口的类名称是否与表3中的值相匹配。如果存在匹配，它将保存将在将来发送给C＆C的标识符，作为与特定银行交互的数据。
• 然后，“ RTM”尝试与“ C＆C”服务器建立连接（找到以下地址：188.165.200.156、185.190.82.182、5.135.183.146、151.80.147.153、109.69.8.34）。 要获取“ C＆C”服务器的IP地址，请访问站点“ namecha.in”。
• 创建一个流，检查是否存在连接的智能卡。

进一步的操作取决于从“ C＆C”服务器接收的命令。

接收到的命令使用改进的RC4算法进行加密。 在从“ C＆C”服务器收到的每个消息中，前4个字节是XOR键。 在解密接收到的数据之前，使用此密钥以模2的形式对“ S块”的每4个字节进行加法运算。 “ RC4”键本身存储在程序中。

字节4至8是消息其余部分的“ CRC32”代码。 解密后。 该程序通过比较从消息中接收到的“ CRC-32”代码与实际的“ CRC-32”消息代码来检查消息的正确性。


接收到的消息的第9个字节确定要执行的命令。

• 如果9个字节为0x0，程序将继续其工作。 这样的回答意味着服务器接收到的数据是正确的。
• 如果9个字节为0x5，则消息的其余部分是可选模块，将加载到“ RTM”进程中。

• 如果9个字节为0x6，则消息的其余部分为可执行文件。 它将被保存并启动。

• 如果9个字节为0x8，则消息的其余部分为“ DLL”库。 它将被保存并加载。

• 如果9个字节为0x9，则消息的其余部分是将在不保存的情况下运行的可执行文件。

• 如果9个字节为0xB，则消息的其余部分是新的可执行文件，它将替换当前的RTM可执行文件。

• 如果9个字节为0xC，则其余消息将保存到“％LocalAppData％”目录中的文件中。
• 如果9个字节为0x1，则消息的其余部分为带有以下命令之一的字符串：
• “ Find_files”-搜索具有从“ C＆C”获得的名称的文件，

• “下载”-将具有从“ C＆C”服务器获得的名称的文件内容发送到远程北部（如果存在）。

• “卸载”-停止“ RTM”的操作，直到下一次重启。
• “卸载”-RTM删除当前的可执行文件。
• “卸载锁定”-删除当前的可执行文件，并将注册表项“ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \”的“ Shell”键设置为“ shutdown –s –f –t 0”，这将导致计算机关闭每次登录时。
• “自动提升”-创建一个窗口，当您单击它的按钮时，“ RTM”将以管理员身份启动“ rundll32.exe”。

• “ Dbo-scan”-开始搜索与银行服务有关的文件（表2）。
• “关机”-关闭计算机。

• “重新启动”-重新启动计算机

• “ Hosts-add”-通过运行命令“ ipconfig.exe / flushdns”将接收到的数据写入“ hosts”文件，并清除DNS服务记录的缓存。
• “ Hosts-clear”-通过运行命令“ ipconfig.exe / flushdns”清除“ hosts”文件并清除DNS服务记录的缓存
• “屏幕截图”-创建屏幕截图并将其发送到服务器。
• “杀死进程”-搜索正在运行的进程，其名称是从服务器收到一行，然后接收其标识符并终止它们。

• “视频启动”-创建一个流，该流每2秒创建一个屏幕截图，并将其传输到从C＆C服务器接收的远程地址。

• “视频停止”-停止流创建屏幕截图。
• “消息”-创建一个弹出窗口，其中包含从C＆C接收的文本

• 假定“ RTM”具有下载扩展名为“ .dtt”的附加模块的能力。

• 假定在接收到“ del-module”命令后，将停止执行并删除已加载模块的代码。

表1-表示与银行互动的“ URL”列表

表2-指示与银行交互的文件列表

表3-类名列表

盗窃方案

使用屏幕截图和键盘记录器，RTM识别用户的用户名和密码，下载并启动计算机的远程控制工具，然后创建付款单并通过受感染计算机的远程控制将其发送到远程银行系统，或者远程银行系统中使用的身份验证数据和密钥被盗，然后从攻击者的计算机发送命令。 根据IB集团的说法，如果成功盗窃，平均而言，黑客从这样的攻击中“从”一个法人实体赚取约1,100,000卢布。

通常，在秋季（9月至11月）期间，RTM犯罪集团对俄罗斯大型银行和企业发起了几次大规模攻击。 使用网络攻击预警系统威胁检测系统多边形（TDS）检测和阻止了恶意活动，该系统使您可以在与银行网络系统主网络隔离的安全状态下“打开”可疑信件，检查它们是否存在恶意附件，并对检测到的对象的危险程度做出判断。