T9000 trójai

CH azonosító

CH-13023

Angol cím

T9000 trojan

Felfedezés dátuma

2016.02.10.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows
Skype

Összefoglaló

A T9000 egy olyan trójai mely dokumentumokat lop, és rögzíti a Skype kommunikációt a fertőzött számítógépen.

Leírás

A kártevő a T5000 egy továbbfejlesztett változata, mely vélhetően kínai eredetű volt, és Admin@338 APT csoporthoz köthető, akik APAC kormányokat, különböző amerikai célpontokat, és emberi jogi aktivistákat támadtak.

A T9000-es adathalász leveleken keresztül érkezhet egy fertőzött RTF fájl segítségével, mely két különböző sérülékenységet használ ki a rendszerbe jutáshoz (CVE-2012-1856 és CVE-2015-1641)

A kártékony kód a sérülékenységek sikeres kihasználását követően aktiválódik, majd több shell kódot futtat le, melynek eredményeként a betöltődik a backdoor fő modulja, valamint három titkosított plugin.

A kártevő ellenőrzi az operációs rendszerre telepített biztonsági szoftver típusát, ennek függvényében személyre szabja a telepítési mechanizmust, elrejtőzve a kártevő eltávolítók elől.

A főmodul összegyűjti a felhasználói, a számítógépes és szoftver információkat, majd elküldi azokat a vezérlőszerverére.

Letölti a három másik modulját (melyeknek különböző feladatuk van), majd betölti a számítógépre.

  • Az első modul az információgyűjtésért felel: Rögzíti a videóhívásokat a hanghívásokat és a szöveges üzenetetket. Ezt a beépített Skype API segítségével tudják megtenni, melyhez azonban először hozzáférésre van szükségük. Ezt egy felugró ablakkal próbálják megoldani, melyben az explorer.exe-t kell engedélyezni, ezzel a háttérben megadja a felhasználó a hozzáférést a kártevőnek a Skype-hoz.
  • A második modul MS Office fájlokat keres csatlakoztatott meghajtókon keresztül, melyekről másolatot készít és előkészíti a bejutást.
  • A harmadik modul rögzíti a fontos tevékenységeket (pl:rendszerváltozások)

Végül a főmodul meghajtókat listáz, parancsot futtat, letölt, feltölt fájlokat, stb.

Megoldás

A Windows Update segítségevel telepítse a CVE-2012-1856 és CVE-2015-1641 sérülékenységek javítását.

Ne nyisson meg ismeretlen feladótól származó levelet, és annak csatolmányát.

A kártevő detektálásához használható IoC-ket talál az első hivatkozásban.