Kiberjinoyatchilar «Frankenshteyn» operatsiyasini bir-biridan farq qiladigan qismlardan «yig’ishdi»
Kiberjinoyatchilar o’zlarining zararli kampaniyalarida ochiq manba komponentlaridan foydalanadilar.
2019-yilning yanvar-aprel oylarida bir qator maqsadli hujumlar ortida turgan kiberjinoyatchi guruh hisob maʼlumotlarini oʻgʻirlash uchun oson mavjud boʻlgan bepul komponentlardan yigʻilgan zararli vositalardan foydalanadi. Cisco Talos tadqiqotchilari zararli dasturiy ta’minot kampaniyasini «Frankenshteyn» deb nomladilar, chunki guruh bir-biriga bog’liq bo’lmagan komponentlarni mohirlik bilan yig’di va operatsiya davomida to’rt xil texnikani qo’lladi. Kiberjinoyatchilar o’zlarining zararli operatsiyalari davomida quyidagi ochiq manba komponentlaridan foydalanganlar:
• Namuna virtual mashinada ishlayotganligini aniqlash uchun maqola elementi;
• PowerShell buyruqlarini ishga tushirish uchun MSbuild dan foydalanadigan GitHub loyihasi;
• Fruityc2 deb nomlangan GitHub loyihasi komponenti, stend yaratish uchun;
• Agentlar uchun PowerShell Empire deb nomlangan GitHub loyihasi.
Aniqlashdan qochish uchun kiberjinoyatchilar Process Explorer kabi dasturlar maqsadli tizimda ishlayotganligini va zararlangan kompyuter virtual mashina ekanligini tekshiradi.
Boshqa narsalar qatorida, guruh faqat seans kukilari, ma’lum bir domen katalogi va boshqalar kabi oldindan belgilangan maydonlarni o’z ichiga olgan GET so’rovlariga javob berish uchun bir qator qo’shimcha qadamlar qo’ydi. O’tkazilgan ma’lumotlar shifrlash bilan himoyalangan.
Tizim ikki vektor orqali yuqadi. Birinchisi, kodni bajarish uchun Microsoft Office (CVE-2017-11882) xotirasining buzilishi zaifligidan foydalanadigan masofaviy shablonni yuklash uchun zararli Word hujjatidan foydalanishni o’z ichiga oladi.
Ikkinchi hujum vektori, shuningdek, zararli Word hujjatidan foydalanishni ham o’z ichiga oladi. Jabrlanuvchi hujjatni ochganda, ular makroslarni yoqishlari talab qilinadi, shundan so’ng Visual Basic skripti ishga tushiriladi. Ushbu skript tizimni zararli dasturlarni tahlil qilish vositalarini tekshiradi va agar virtual mashina belgilari aniqlansa, zararli dasturni to’xtatadi.
