BlackSoul Malware

Et nyt besvær med RAT-malware (Remote Access Trojan) er blevet opdaget, der implementeres gennem det, der menes at være en spyd-phishing-kampagne rettet mod regeringsenheder. Malwaren blev navngivet BlackSoul af infosec-forskere, der opdagede operationen. På grund af ligheder i malware-værktøjets kode og de overordnede TTP'er (teknikker, taktik og procedurer) i kampagnen fastslog eksperterne, at de trusselsaktører, der sandsynligvis er ansvarlige for det, er hackergruppen ReconHellcat.

Angrebet begynder med en falsk lokke-e-mail med et kompromitteret CAB-arkiv. Arkivet og filen inde i det har et identisk navn - '1-10-22-hb44_final.' Implikationen er, at vedhæftningen er et dokument fra National Institute of Standards and Technology (NIST), som kan være information af interesse for målrettede personer.

Den eksekverbare fil indeholdt i arkivet bærer første-trins læsseren. Malwaren er udstyret med tiltrækningsteknikker, der er i overensstemmelse med tidligere truende værktøjer, der tilskrives ReconHellcat-gruppen. Efter oprettelse af en forbindelse med Command-and-Control (C2, C&C) -infrastrukturen henter læsseren og viser den endelige nyttelast i form af to nye filer. Det forsøger også at skjule sin aktivitet ved at præsentere målbrugeren for et legitimt Microsoft Word-vindue med det legitime dokument fra NIST-webstedet. De to filer, der lægges på den kompromitterede maskine af læsseren, er en eksekverbar med navnet 'blacksoul' og en DLL-fil med navnet 'blacksoulLib.'

Selve BlackSoul-nyttelasten er en forholdsvis enkel RAT med et begrænset antal funktioner og handlingsbare kommandoer. Det genkender kun fire kommandoer modtaget fra C2-serverne, men de er mere end nok. BlackSoul kan udføre vilkårlige kommandoer, hente yderligere filer, slippe dem på det inficerede system og exfiltrere filer fra det. For at undgå detektion er RAT udstyret med adskillige tiltrækningsteknikker. Hovedsageligt konstruerer den strenge på stakken dynamisk og bruger derefter en række forskellige mekanismer, såsom en fast XOR-chiffer og en Cæsar-chiffer ved hjælp af variable forskydningsværdier til at deobfuscate dem.

Hvad angår DLL-biblioteksfilen, når den påberåbes af BlackSoul, forsøger den at indsamle data fra Chrome-, Firefox- og Opera-browserne. Hvis sådanne data ikke kan opnås, afslutter programmet sin operation for tidligt. Det hjælper også med den oprindelige forbindelse til C2-serverne ved at afkode C2 URL og Cloudflare DNS-over-HTTPS (DoH) URL. Derudover genererer den de nødvendige loginoplysninger og returnerer de indsamlede data til BlackSoul Malware i et JSON-format.

ReconHellcat ser ud til at følge deres mønster for at lancere angrebskampagner mod regeringsorganisationer. I tidligere operationer er hackerne blevet dokumenteret og forsøgt at infiltrere diplomatiske organisationer og forsvarsmyndigheder.