印度用戶遭釣魚攻擊：惡意軟件冒充稅務部門竊取數據

網絡安全研究人員發現了一起正在進行的針對印度用戶的多階段后門攻擊活動，疑似為網絡間諜活動的一部分。

攻擊活動詳情

據eSentire威脅響應部門（TRU）報告，此次攻擊活動通過偽裝成印度所得稅部門的釣魚郵件來欺騙受害者下載惡意壓縮包，最終使威脅行為者獲得對受害者機器的持久訪問權限，以便進行持續監控和數據竊取。

這次復雜攻擊的最終目標是部署一個名為Blackmoon（又稱KRBanker）的已知銀行木馬變種，以及一個由中國公司南京中科華賽科技有限公司開發的合法企業工具SyncFuture TSM（終端安全管理）。該攻擊活動尚未歸屬于任何已知的威脅行為者或組織。

eSentire表示："雖然這是一個合法的企業工具，但在此次攻擊活動中被重新利用為一個強大的一體化間諜框架。通過部署這個系統作為最終載荷，威脅行為者建立了強韌的持久性，并獲得了豐富的功能集來監控受害者活動并集中管理敏感信息的竊取。"

攻擊流程分析

通過虛假稅務罰單通知分發的ZIP文件包含五個不同的文件，除了一個用于側載惡意DLL的可執行文件（"Inspection Document Review.exe"）外，其他文件都是隱藏的。該DLL實現了檢測調試器引起延遲的功能，并聯系外部服務器獲取下一階段的載荷。

下載的shellcode隨后使用基于COM的技術來繞過用戶賬戶控制（UAC）提示以獲得管理員權限。它還修改自己的進程環境塊（PEB）來偽裝成合法的Windows"explorer.exe"進程，以避免被檢測。

此外，它從"eaxwwyr[.]cn"域獲取下一階段的"180.exe"，這是一個32位Inno Setup安裝程序，會根據受感染主機上是否運行Avast免費殺毒軟件進程（"AvastUI.exe"）來調整其行為。

繞過安全軟件的策略

如果檢測到安全程序，惡意軟件會使用自動鼠標模擬來導航Avast界面，并將惡意文件添加到其排除列表中，而不會禁用殺毒引擎以繞過檢測。這是通過一個被評估為Blackmoon惡意軟件家族變種的DLL實現的，該家族以針對韓國、美國和加拿大的企業而聞名，首次出現在2015年9月。

添加到排除列表的文件是一個名為"Setup.exe"的可執行文件，這是來自SyncFutureTec公司的實用程序，設計用于將"mysetup.exe"寫入磁盤。后者被評估為SyncFuture TSM，這是一個具有遠程監控和管理（RMM）功能的商業工具。

通過濫用合法產品，該攻擊活動背后的威脅行為者獲得了遠程控制受感染終端、記錄用戶活動和竊取感興趣數據的能力。在執行可執行文件后還部署了其他文件：

創建自定義目錄并修改其訪問控制列表（ACL）以向所有用戶授予權限的批處理腳本

操控桌面文件夾用戶權限的批處理腳本

執行清理和恢復操作的批處理腳本

一個名為"MANC.exe"的可執行文件，用于編排不同的服務并啟用廣泛的日志記錄

eSentire表示："這為他們提供了不僅竊取數據的工具，還能對受感染環境保持精細控制，實時監控用戶活動，并確保自身的持久性。通過融合反分析、權限提升、DLL側載、商業工具重新利用和安全軟件規避，威脅行為者展現了其能力和意圖。"

Q&A

Q1：Blackmoon惡意軟件是什么？它有哪些特點？

A：Blackmoon（又稱KRBanker）是一個已知的銀行木馬惡意軟件家族，以針對韓國、美國和加拿大的企業而聞名，首次出現在2015年9月。在此次攻擊中，威脅行為者使用了其變種來實現對受感染系統的控制和數據竊取。

Q2：SyncFuture TSM工具在攻擊中是如何被濫用的？

A：SyncFuture TSM是南京中科華賽科技有限公司開發的合法企業終端安全管理工具，具有遠程監控和管理功能。威脅行為者將其重新利用為間諜框架，通過這個工具遠程控制受感染終端、記錄用戶活動并竊取敏感數據。

Q3：這次攻擊是如何繞過Avast殺毒軟件檢測的？

A：惡意軟件會檢測受感染主機上是否運行Avast免費殺毒軟件，如果檢測到，它會使用自動鼠標模擬技術來導航Avast界面，并將惡意文件添加到殺毒軟件的排除列表中，從而繞過檢測而不需要完全禁用殺毒引擎。