印度用户遭钓鱼攻击：恶意软件冒充税务部门窃取数据

网络安全研究人员发现了一起正在进行的针对印度用户的多阶段后门攻击活动，疑似为网络间谍活动的一部分。

攻击活动详情

据eSentire威胁响应部门（TRU）报告，此次攻击活动通过伪装成印度所得税部门的钓鱼邮件来欺骗受害者下载恶意压缩包，最终使威胁行为者获得对受害者机器的持久访问权限，以便进行持续监控和数据窃取。

这次复杂攻击的最终目标是部署一个名为Blackmoon（又称KRBanker）的已知银行木马变种，以及一个由中国公司南京中科华赛科技有限公司开发的合法企业工具SyncFuture TSM（终端安全管理）。该攻击活动尚未归属于任何已知的威胁行为者或组织。

eSentire表示："虽然这是一个合法的企业工具，但在此次攻击活动中被重新利用为一个强大的一体化间谍框架。通过部署这个系统作为最终载荷，威胁行为者建立了强韧的持久性，并获得了丰富的功能集来监控受害者活动并集中管理敏感信息的窃取。"

攻击流程分析

通过虚假税务罚单通知分发的ZIP文件包含五个不同的文件，除了一个用于侧载恶意DLL的可执行文件（"Inspection Document Review.exe"）外，其他文件都是隐藏的。该DLL实现了检测调试器引起延迟的功能，并联系外部服务器获取下一阶段的载荷。

下载的shellcode随后使用基于COM的技术来绕过用户账户控制（UAC）提示以获得管理员权限。它还修改自己的进程环境块（PEB）来伪装成合法的Windows"explorer.exe"进程，以避免被检测。

此外，它从"eaxwwyr[.]cn"域获取下一阶段的"180.exe"，这是一个32位Inno Setup安装程序，会根据受感染主机上是否运行Avast免费杀毒软件进程（"AvastUI.exe"）来调整其行为。

绕过安全软件的策略

如果检测到安全程序，恶意软件会使用自动鼠标模拟来导航Avast界面，并将恶意文件添加到其排除列表中，而不会禁用杀毒引擎以绕过检测。这是通过一个被评估为Blackmoon恶意软件家族变种的DLL实现的，该家族以针对韩国、美国和加拿大的企业而闻名，首次出现在2015年9月。

添加到排除列表的文件是一个名为"Setup.exe"的可执行文件，这是来自SyncFutureTec公司的实用程序，设计用于将"mysetup.exe"写入磁盘。后者被评估为SyncFuture TSM，这是一个具有远程监控和管理（RMM）功能的商业工具。

通过滥用合法产品，该攻击活动背后的威胁行为者获得了远程控制受感染终端、记录用户活动和窃取感兴趣数据的能力。在执行可执行文件后还部署了其他文件：

创建自定义目录并修改其访问控制列表（ACL）以向所有用户授予权限的批处理脚本

操控桌面文件夹用户权限的批处理脚本

执行清理和恢复操作的批处理脚本

一个名为"MANC.exe"的可执行文件，用于编排不同的服务并启用广泛的日志记录

eSentire表示："这为他们提供了不仅窃取数据的工具，还能对受感染环境保持精细控制，实时监控用户活动，并确保自身的持久性。通过融合反分析、权限提升、DLL侧载、商业工具重新利用和安全软件规避，威胁行为者展现了其能力和意图。"

Q&A

Q1：Blackmoon恶意软件是什么？它有哪些特点？

A：Blackmoon（又称KRBanker）是一个已知的银行木马恶意软件家族，以针对韩国、美国和加拿大的企业而闻名，首次出现在2015年9月。在此次攻击中，威胁行为者使用了其变种来实现对受感染系统的控制和数据窃取。

Q2：SyncFuture TSM工具在攻击中是如何被滥用的？

A：SyncFuture TSM是南京中科华赛科技有限公司开发的合法企业终端安全管理工具，具有远程监控和管理功能。威胁行为者将其重新利用为间谍框架，通过这个工具远程控制受感染终端、记录用户活动并窃取敏感数据。

Q3：这次攻击是如何绕过Avast杀毒软件检测的？

A：恶意软件会检测受感染主机上是否运行Avast免费杀毒软件，如果检测到，它会使用自动鼠标模拟技术来导航Avast界面，并将恶意文件添加到杀毒软件的排除列表中，从而绕过检测而不需要完全禁用杀毒引擎。