Хятадын Төмөр Бар гэгдэх “AРТ” хортой код дахин гарч ирлээ, “PZChao” ажиллагааг дэлгэрэнгүй авч үзье

“PZChao" ажиллагаагаар сайжруулагдсан, Хятадын Төмөр Бар “АРТ” гэгдэх хортой код дахин гарч ирсэн бөгөөд түүний гол бай нь Ази болон АНУ-ын төрийн, технологийн, боловсролын, харилцаа холбооны байгууллагууд руу чиглэж байна.

Хортой програм судалдаг Битдефендер компанийн судлаачид тухайн бай компанид тусгайлан зориулан хийсэн нууц үг хулгайлах, биткойн олборлолт хийх мөн хэрэглэгчийн системд бүрэн хандах эрх авах боломжтой арын хаалга үүсгэх хортой програмыг илрүүлсэн ба түүний үйл ажиллагааг хэдэн сарын турш хянаж байна.

“ -Тусгайлан зохиосон энэхүү хортой програм нь Азид сүйрэл авчирах хэмжээтэйгээр илэрснээс хойш бид энэхүү хортой програмыг ажигласаар байна. Бидний халдлага илрүүлэх ухаалаг систем -д халдлага байж болзошгүй индикаторууд өнгөрсөн оны 7 сард хамгийн анх мэдэгдсэн юм. Түүнээс хойш бид энэхүү халдлагын үйл ажиллагааг анхааралтай ажиглаж байна - хэмээн Битдефендерын тайланд дурджээ.

Манай судлаачдын багийн анхаарлыг татаж басхүү нэлээн хүчин чармайлт шаардсан хэсэг нь энэхүү хортой програм нь сүлжээний хэд хэдэн дэд домэйн -г ашигладагт байгаа юм. Өөрөөр хэлбэл нэг дэд домэйнийг зөвхөн нэг тухайлсан зорилгоор л ашигладаг, жишээлбэл сүлжээнээс файл татаж авах үйлдэлд нэг дэд домэйн, файл хуулахад өөр нэг дэд домэйн, RAT төрлийн үйл ажиллагаанд нэг дэд домэйн, хортой DLL хүргэх үйл ажиллагаанд нэг дэд домэйн гэх мэт.

Сүлжээгээр дамжих ашигт өгөгдөл нь төрөлжсөн ба түүнээс гадна энэхүү хортой програм нь нэмэлт бинари файлыг системд татан авах, ажиллуулах, хувийн, эмзэг мэдээллийг цуглуулах, алсын зайнаас системд команд ажиллуулах чадвартай юм”.

Бас нэгэн сонирхолтой зүйл нь дэд домэйн бүр нь өөр өөр зориулалттай ашиглагддаг, дэд домэйн бүхий (файл татан авах, файл хуулах, RAT төрлийн үйл ажиллагаа хийх, хортой DLL хүргэх гэх мэт) хортой програмууд байна. Команд болон хяналтын дэд бүтцэд дүн шинжилгээ хийдэг экспертүүд мөн хакеруудын хэрэглэдэг хортой програмууд (жишээлбэл Gh0st RAT) зэрэг нь Төмөр Бар АРТ-н илгээж буй мэдээллийг судалж байна.

Төмөр Бар АРТ (ака Панда Эмиссари эсвэл TG-3390) нь хамгийн оройдоо л 2010 оноос хойш идэвхитэй байсан бөгөөд Ази номхон далайн бүс нутгийн орнуудыг чиглэсэн үйл ажиллагаа хийж байсан юм. Гэвч 2013 оноос эхлэн энэхүү ажиллагаа нь АНУ дахь технологийн компаниуд руу халдлага хийх болсон. Экспертүүдийн илрүүлснээр PZChao ажиллагаанд ашиглагдсан Gh0stRat болон Төмөр Бар АРТ хортой код бүхий програмуудад олон төстэй шинж чанар байгааг илрүүлжээ.

PZChao ажиллагааны ард буй халдагч этгээдүүд өөрсдийн хохирогч руу VBS төрлийн хортой файл бүхий имэйлийг spear-phishing буюу итгэлтэй эх сурвалжийнх нь нэрийн өмнөөс илгээх бөгөөд хэрэв хохирогч нь тухайн файлыг татан авч ажиллуулсан тохиолдолд хортой програм нь алсын зайд байрлах тархсан серверээс Виндовс системд зориулсан хортой програмыг татан авдаг. Судлаачдын илрүүлснээр серверийнх нь IP хаяг нь өмнөд Солонгос улсад байрлах 125.7.152.55 гэсэн хаяг бөгөөд түүний хост нэр нь “down.pzchao.com” юм байна.

Халдлагын үе шат бүрд хортой үйл ажиллагаа хийх зориулалт бүхий шинэ бүрэлдэхүүн хэсгийг энэхүү хортой програм татан авч, ажиллуулдаг болохыг экспертүүд цохон тэмдэглэжээ.

Экспертүүдийн илрүүлснээр халдлагад өртсөн системд хамгийн анх автоматаар татагдаж, ажиллаж буй хортой програм нь тухайн системийг биткойны олборлогч болгож байгаа юм байна. Олборлогч нь програм нь “java.exe” файл нэрээр зүсээ хувилгасан байх ба илрэхээс сэргийлж 3 долоо хоног тутамд 1 удаа өглөөний 3 цагт хэрэглэгддэг байна. Крифтовалют нь энэхүү ажиллагааг санхүүжүүлдэг байж болзошгүй юм.

PZChao ажиллагааны хамгийн гол зорилго нь кибер тагнуул хийх зорилготой гэдгийг мартаж болохгүй бөгөөд хортой код нь Mimikatz хэрэглүүрийн 2 хувилбарыг халдлагад өртсөн хостоос эмзэг мэдээллийг цуглуулахад ашигладаг. Халдагч этгээдүүдийн хэрэгслийн бүрэлдэхүүнд буй хамгийн чухал хэсэг нь хүчирхэг Gh0sT RAT бөгөөд энэхүү хортой програм нь халдлагад өртсөн системийг тэр чигт нь удирдах боломжийг олгодог.

Үүнийг Битдефендер дүгнэхдээ “энэхүү Троян шинж чанартай тагнуулын үйл ажиллагаа хийх чадвар болон хохирогч этгээдээс өөрийн ургацыг маш ухаалгаар хурааж байгаа байдал нь энэ хортой програмыг маш хүчирхэг бөгөөд илрүүлэхэд хүндрэлтэй хортой програм болгож байна” хэмээжээ. “Троян програм нь ажиллах явцдаа өөрийн C&C -г сольж байгаа бөгөөд энэ нь сүлжээний түвшинд түүнийг илрүүлэхээс сэргийлж байна. Харин түүний үйл ажиллагааны үлдсэн бүрэлдэхүүн хэсэгт нь хууль ёсны мэтээр дүрээ хувилгасан түгээмэл хэрэглэгддэг аппликэшнүүд ажиллаж байна.”

Эх Сурвалж: http://securityaffairs.co/wordpress/68581/apt/operation-pzchao.html

Facebook