Snip3 Loader

Forskere ved Morphisec har opdaget en ny truende og meget sofistikeret malware-trussel, som de har navngivet 'Snip3' cryptor. Truslen tilbydes i en Cryptor-as-a-Service-ordning og bruges i igangværende angrebskampagner, der leverer adskillige RAT (Remote Access Trojans) stammer som endelige nyttelast på de kompromitterede maskiner. De mest kraftfulde funktioner i Snip3-læsseren er dens detekterings-undgåelses- og anti-analysefunktioner baseret på flere avancerede teknikker, såsom at udføre PowerShell-kode med parameteren 'remotesignet' ved hjælp af Pastebin og top4top til iscenesættelse, kompilering af runPE-læssere i runtime og kontrol af Windows Sandbox og VMWare virtualisering.

Angrebskæden består af flere faser, hvor den oprindelige angrebsvektor formidles via phishing-e-mails. Lokkemeldingerne prøver at narre den målrettede bruger til at downloade en beskadiget visuel grundfil. I nogle tilfælde brugte trusselsaktørerne i stedet en stor installationsfil til at skjule leveringen af deres malware-værktøj.

Den indledende fase af Snip3 Attack

Den første fase involverer implementeringen af et VB-script, der er ansvarligt for at preppe og initialisere den næste fase af malwareangrebet - et andet trin PowerShell-script. Infosec-forskere har formået at identificere fire hovedversioner af VB-scriptet sammen med 11 underversioner. Hvad der adskiller de 4 versioner, er den nøjagtige metode, der bruges til at indlæse den næste salvie PowerShell, mens underversionerne anvender forskellige obfuscationstyper. Det skal bemærkes, at trusselsaktøren på dette tidlige stadium har implementeret en ret unik teknik, der er observeret i nogle af versionerne - scriptet udfører PowerShell med en '-RemoteSigned' parameter som en kommando.

Anden fase af Snip3-operationen

Den anden fase drejer sig hovedsageligt om at sikre, at malware ikke udføres i et virtuelt miljø. Hvis alt ser ud til at være inden for forventningerne, fortsætter PowerShell-scriptet til at indlæse RUnPE for at udføre den valgte RAT-nyttelast inden for en udhulet Windows-proces reflekterende.

Snipe3 er udstyret med ekstra anti-VM-målinger sammenlignet med den sædvanlige kode, der ses i naturen, ikke er i stand til at opdage Microsoft Sandbox. For at kontrollere eventuelle potentielle virtuelle computere såsom VMWare, VirtualBox eller Windows Sandbox udtrækker PowerShell-scriptet Producentstrengen og sammenligner den med en liste over hardkodede strenge. For at opdage Sandboxie-miljøer forsøger malware at løse et håndtag til en DLL ved navn SbieDll.dll. Hvis der findes en VM, afslutter malware malwareen uden at levere RAT-nyttelasten.

Implementeringen af en RAT-trussel

Den sidste fase af Snip3's operationer viser, at truslen leverer en valgt RAT-malware til det inficerede system. Leveringsmekanismen adskiller sig fra det, der ofte observeres i andre truende kampagner. Snip3 fordobler sin stealthiness ved at bære en integreret og komprimeret (GZIP) kildekode, der er kompileret i løbetid. Denne kildekode ser ud til at være en ændret version af runPE fra et GitHub-lager med navnet NYAN-x-CAT.

Indtil videre har flere RAT-trusler observeret at blive droppet som den endelige nyttelast af Snip3. Ofte er de indsatte trusler ASyncRAT eller RevengeRAT . Der har dog været tilfælde, hvor Snip3-varianter har leveret AgentTesla eller NetWire RAT .

Organisationer skal tage højde for den afslørede IoC (Indicators-of-Compromise) og tage højde for kapaciteterne i Snip3, der gør det muligt at omgå detektionscentriske løsninger let.