BlackSoul Malware

È stato rilevato un nuovo problema di malware RAT (Remote Access Trojan) che viene distribuito attraverso quella che si ritiene essere una campagna di spear phishing rivolta a enti governativi. Il malware è stato chiamato BlackSoul dai ricercatori di infosec che hanno rilevato l'operazione. A causa delle somiglianze nel codice dello strumento malware e nelle TTP (tecniche, tattiche e procedure) complessive della campagna, gli esperti hanno stabilito che gli attori della minaccia più probabilmente responsabili di ciò è il gruppo di hacker ReconHellcat.

L'attacco inizia con una falsa email di richiamo contenente un archivio CAB compromesso. L'archivio e il file al suo interno hanno un nome identico: "1-10-22-hb44_final." L'implicazione è che l'allegato è un documento del National Institute of Standards and Technology (NIST), che potrebbe essere informazioni di interesse per gli individui mirati.

Il file eseguibile contenuto nell'archivio porta il caricatore della prima fase. Il malware è dotato di tecniche di offuscamento coerenti con i precedenti strumenti minacciosi attribuiti al gruppo ReconHellcat. Dopo aver stabilito una connessione con l'infrastruttura Command-and-Control (C2, C&C), il caricatore recupererà e mostrerà il carico utile finale sotto forma di due nuovi file. Tenta inoltre di nascondere la sua attività presentando all'utente di destinazione una finestra di Microsoft Word legittima con il documento legittimo dal sito Web del NIST. I due file rilasciati dal caricatore sulla macchina compromessa sono un eseguibile denominato "blacksoul" e un file DLL denominato "blacksoulLib".

Il payload BlackSoul stesso è un RAT relativamente semplice con una quantità limitata di funzioni e comandi utilizzabili. Riconosce solo quattro comandi ricevuti dai server C2, ma sono più che sufficienti. BlackSoul può eseguire comandi arbitrari, recuperare file aggiuntivi, rilasciarli sul sistema infetto ed esfiltrare file da esso. Per evitare il rilevamento, il RAT è stato dotato di diverse tecniche di offuscamento. Principalmente, costruisce dinamicamente le stringhe sullo stack e quindi utilizza una serie di meccanismi diversi come una cifratura XOR fissa e una cifratura Caesar utilizzando valori di spostamento variabili per deoffuscarle.

Per quanto riguarda il file della libreria DLL, quando viene richiamato da BlackSoul, tenta di raccogliere dati dai browser Web Chrome, Firefox e Opera. Se tali dati non possono essere ottenuti, il programma termina prematuramente il suo funzionamento. Aiuta anche con la connessione iniziale ai server C2 decodificando l'URL C2 e l'URL DNS-over-HTTPS (DoH) di Cloudflare. Inoltre, genera le informazioni di accesso necessarie e restituisce i dati raccolti a BlackSoul Malware in un formato JSON.

ReconHellcat sembra seguire il loro schema di lanciare campagne di attacco contro le organizzazioni governative. In precedenti operazioni, gli hacker sono stati documentati, tentando di infiltrarsi nelle organizzazioni diplomatiche e negli organi di governo della difesa.