Modularni BMANAGER trojanac

Sigurnosni istraživači kompanije Group-IB su identifikovali ranije nepoznatog zlonamjernog aktera Boolka koji distribuira modularni trojanac poznat kao BMANAGER najmanje od 2022. godine. Zlonamjerni akter kompromituje internet stranice putem SQL injekcionih napada, ubrizgavajući zlonamjerne JavaScript skripte koje mogu da presretnu podatke unijete na kompromitovanu internet lokaciju.

BMANAGER

Modularni BMANAGER trojanac; Source: Bing Image Creator

BOOLKA ZLONAMJERNI AKTER

Boolka je sofisticirani zlonamjerni akter koji djeluje ispod radara najmanje od 2022. godine. Primarni metod napada grupe uključuje kompromitovanje internet lokacija putem SQL injekcionih napada, koje se zatim koriste za distribuciju zlonamjernih JavaScript skripti dizajniranih da ukradu osvetljive informacije od nesuđenih posjetilaca. Ova kampanja je postala poznata kada su sigurnosni istraživači otkrili operacije koje stoje iza ovog zlonamjernog aktera i njihovu upotrebu modularnog trojanca poznatog kao BMANAGER.

Kampanja je sprovedena oportunističkim napadima na internet stranice u više zemalja, iskorištavajući ranjivosti ovih lokacija na napade SQL injekcije za ubacivanje zlonamjernog JavaScript kôda u kompromitovane internet lokacije. Ovaj JavaScript kôd, nazvan “Boolka”, preusmjerava posjetioce na komandni i kontrolni server pod nazivom “boolka[.]tk”. Jednom kada je na ovom serveru, korisnikovim internet pregledačem se manipuliše korištenjem Browser Exploitation FrameworkBeEF okvira za izvršavanje različitih zlonamjernih zadataka.

Boolka JavaScript kod takođe ima funkciju prikupljanja i slanja korisničkih unosa i interakcija u Base64 kodiranom formatu nazad na server napadača, otkrivajući zlonamjernu namjeru iza ove kampanje: eksfiltraciju podataka. Ukradene informacije obuhvataju akreditive, lične podatke i druge osjetljive informacije koje se mogu koristiti u razne zlonamjerne svrhe kao što su krađa identiteta ili finansijska dobit.

 

BMANAGER TROJANAC

BMANAGER trojanac je poznat po svom modularnom dizajnu, koji se sastoji od nekoliko komponenti, od kojih svaka ima određenu funkciju: BMREADER, BMLOG, BMHOOK i BMBACKUP.

 

BMREADER

Primarna funkcija BMREADER modula je da olakša eksfiltraciju podataka iz zaraženih sistema, omogućavajući zlonamjernim akterima da pristupe i prikupe vrijedne informacije. Tipovi i lokacije ciljanih datoteka ili podataka zavise od specifične konfiguracije svake instance zlonamjernog softvera.

Modul BMREADER se može smatrati suštinskom komponentom u Boolka strategiji napada, jer omogućava zlonamjernim akterima da prikupe značajne količine osjetljivih informacija iz kompromitovanih sistema, što potencijalno može dovesti do dalje eksploatacije i potencijalne finansijske dobiti ili krađe identiteta za napadače. Ukradeni podaci se obično eksfiltriraju nazad na server za komandu i kontrolu napadača radi analize i upotrebe u raznim zlonamjernim aktivnostima.

 

BMLOG

BMLOG modul je dizajniran da uhvati i prenese podatke o korisničkom unosu (eng. keylogging) nazad na napadačev komandni i kontrolni server. Jednom kada je sistem zaražen BMANAGER trojancem, BMLOG komponenta počinje da snima svaki pritisak na taster na tom sistemu u realnom vremenu. Ove informacije mogu uključivati korisnička imena, lozinke, brojeve kreditnih kartica ili bilo koji drugi tekst unijet u kompromitovani uređaj.

Uhvaćeni podaci se zatim šifruju i šalju nazad na server napadača radi analize i eksploatacije. Zlonamjerni akteri su pokazali visok nivo tehničke stručnosti u razvoju ovog modula kao dijela njihove višestruke platforme za isporuku zlonamjernog softvera. Funkcionalnost praćenja korisničkog unosa je posebno dragocjena za napadače, jer im omogućava da dobiju osjetljive informacije direktno sa uređaja korisnika bez potrebe za dodatnom interakcijom ili manipulacijom žrtve. To ga čini moćnim alatom za prikupljanje akreditiva, finansijske prevare, krađu identiteta i druge oblike sajber kriminala.

 

BMHOOK

BMHOOK modul  je komponenta BMANAGER trojanca koja funkcioniše kao monitor aplikacija  i prati korisnički unos. Nakon što je BMANAGER trojanac instaliran na uređaj žrtve, ovaj modul počinje da radi na prikupljanju osjetljivih informacija bilježenjem pritisaka na tastere i praćenjem aktivnih aplikacija sa fokusom na tastaturi.

Praćenjem koje su aplikacije u upotrebi uz fokus korisnika, BMHOOK može ciljati specifične ulaze za prikupljanje podataka ili izvršiti radnje unutar tih aplikacija na osnovu uputstava napadača. Ova mogućnost ga čini vrijednim dodatkom arsenalu trojanca BMANAGER, jer proširuje domet izvan same krađe informacija zasnovanih na internetu i pruža sveobuhvatniji pristup sistemskim aktivnostima žrtve. Ovo može dovesti do napada čovjeka u sredini (eng. Man-in-the-Middle Attack – MitM), gdje se osjetljive informacije, kao što su akreditivi za prijavu, kradu u realnom vremenu.

Snimljeni podaci, uključujući pritiske na tastere i detalje o korištenju aplikacije, zatim se šalju nazad na komandni i kontrolni server napadača radi dalje analize ili eksploatacije. Ove informacije se mogu koristiti za sticanje dubljeg uvida u ponašanje mete na mreži, što potencijalno dovodi do dodatnih napada ili neovlaštenog pristupa osjetljivim sistemima.

 

BMBACKUP

Na kraju, BMBACKUP modul se koristi za eksfiltraciju podataka tako što pravi rezervnu kopiju ukradenih podataka na udaljenom serveru koji kontroliše napadač. Izvlačenjem i eksfiltracijom ovih datoteka nazad na server napadača, oni mogu steći dublji uvid u kompromitovani sistem i potencijalno koristiti ukradene podatke za dalje zlonamjerne aktivnosti kao što su krađa identiteta ili finansijska dobit.

 

BMANAGER razvoj

Upotreba PyInstaller i Python 3.11 okruženja u kreiranju ovih modula ukazuje na visok nivo sofisticiranosti i prilagođavanja Boolka mogućnosti razvoja zlonamjernog softvera. PyInstaller je popularan alat koji se koristi za spajanje Python aplikacija u samostalne izvršne datoteke, što ih čini lakšim za distribuciju i izvršavanje na ciljnim sistemima bez potrebe za instalacijom dodatnih zavisnosti ili biblioteka.

Python 3.11, koji je objavljen u oktobru 2022. godine, uključuje nekoliko novih funkcija koje zlonamjerni akteri mogu da iskoriste u zlonamjerne svrhe, kao što su poboljšana podrška za sintaksu i poboljšane mogućnosti nagovještanja tipa. Ove karakteristike olakšavaju napadačima da napišu efikasniji i efikasniji kôd, omogućavajući im da efikasnije izbjegnu alate za otkrivanje i analizu.

 

ZAKLJUČAK

BMANAGER trojanac je sofisticirani i modularni paket zlonamjernog softvera koji je razvila grupa zlonamjernih aktera poznatih kao Boolka. Sposoban je za obavljanje raznih zlonamjernih aktivnosti kao što su eksfiltracija podataka, praćenje korisničkog unosa i krađa datoteka. Zlonamjerni softver uključuje nekoliko komponenti kao što su BMREADER, BMLOG, BMHOOK i BMBACKUP od kojih svaka ima specifičnu funkciju za poboljšanje sposobnosti zlonamjernog aktera da izvuče vrijedne informacije iz zaraženih sistema.

Upotreba PyInstaller i Python 3.11 okruženja u kreiranju ovih modula ukazuje na visok nivo sofisticiranosti i prilagođavanja Boolka mogućnosti razvoja zlonamjernog softvera. Da bi se odbranile od trojanca BMANAGER, organizacije treba da ažuriraju svoje sisteme bezbjednosnim ispravkama, koriste naprednu zaštitu krajnjih tačaka i antivirusna rješenja, nadgledaju mrežni saobraćaj, edukuju zaposlene o phishing napadima i praksama bezbjednog pregledanja i koriste sisteme za otkrivanje upada. Grupa zlonamjernih aktera pokazala je dinamičan pristup ažuriranju svojih skripti, zbog čega je od suštinskog značaja za branioce da budu informisani o najnovijim prijetnjama i protivmjerama.

 

ZAŠTITA

U nastavku će biti riječi o koracima koje organizacije mogu da preduzmu da bi se zaštitile od BMANAGER trojanca i sličnih prijetnji:

  1. Održavati sisteme ažuriranim, jer je to jedan od najefikasnijih načina za sprečavanje napada zlonamjernog softvera. Potrebno je obezbijediti da svi sistemi i aplikacije budu ažurirani sa najnovijim bezbjednosnim ispravkama,
  2. Koristite naprednu zaštitu krajnjih tačaka implementiranjem naprednih rješenja za zaštitu krajnjih tačaka kao što su antivirusni softver, zaštitni zidovi i sistemi za sprečavanje upada (eng. intrusion prevention systems – IPS). Ovi alati mogu da otkriju i blokiraju zlonamjerne skripte ili datoteke pre nego što imaju priliku da inficiraju mrežu,
  3. Redovno praćenje mrežnog saobraćaja za bilo koju neuobičajenu aktivnost može pomoći da se rano identifikuju potencijalne prijetnje. Koristiti sisteme za otkrivanje upada (IDS) i rješenja za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM)  da bi se analizirali mrežni podaci u realnom vremenu i dobila upozorenja na svako sumnjivo ponašanje,
  4. Napadi društvenog inženjeringa kao što je phishing su uobičajeni metod koji koriste zlonamjerni akteri za distribuciju zlonamjernog softvera. Zbog toga je potrebno obučiti zaposlene kako da identifikuju i izbjegnu phishing elektronsku poštu, poruke ili internet lokacije. Redovno podsjećati korisnike da ne klikću na linkove iz nepoznatih izvora ili preuzimaju priloge bez provjere,
  5. Potrebno je podstaknuti prakse bezbjednog pregledanja među svojom korisnicima primjenom rješenja za internet filtriranje koja blokiraju pristup poznatim zlonamjernim internet lokacijama i ograničavaju pristup potencijalno štetnom sadržaju. Pored toga, koristite pouzdan internet pregledač sa ugrađenim bezbjednosnim funkcijama kao što su automatska ažuriranja i zaštita od krađe identiteta,
  6. Implementirati autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA), jer dodaje dodatni sloj sigurnosti korisničkim nalozima tako što zahteva dodatne metode verifikacije osim lozinke. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako je lozinka ugrožena,
  7. U slučaju da organizacija postane žrtva eksfiltracije podataka, redovno pravljenje rezervnih kopija obezbijediće brz povratak izgubljenih infromacija. Primjena robusne strategije rezervnih kopija i redovno testiranje procesa oporavka su suštinske komponente efikasnog plana sajber bezbjednosti,
  8. Sprovođenje testova penetracije na mreži organizacije povremeno pomaže u identifikaciji ranjivosti pre nego što ih zlonamjerni akteri mogu iskoristiti. Ovaj proaktivni pristup omogućava da se riješe  sve slabosti u kontrolisanom okruženju, smanjujući rizik od uspješnog napada,
  9. Implementacija kontrole pristupa podrazumijeva ograničavanje pristupa osjetljivim podacima i sistemima samo na ovlašćeno osoblje je ključno za održavanje bezbjednosti. Koristite kontrole pristupa zasnovane na ulogama (eng. role-based access controls – RBAC) ili druga rješenja za upravljanje pristupom da bi se osiguralo da korisnici imaju minimalne potrebne privilegije za efikasno obavljanje svojih poslova,
  10. Praćenje najnovijih obavještajnih podataka o pratnjama može pomoći da se bude ispred novih prijetnji i da se u skladu s tim prilagodi odbrana. Pretplata na renomirane biltene o sajber bezbjednosti, praćenje stručnjaka iz industrije na društvenim medijima i prisustvo relevantnim konferencijama ili edukacijama je dobar način da se bude informisan o evoluirajućim okruženju prijetnji.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.