Rabattilbud med flere licenser
Trusseldatabase Malware VOID#GEIST Malware

VOID#GEIST Malware

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

Cybersikkerhedsforskere har afdækket en sofistikeret malwarekampagne i flere faser, der bruger batchscripts til at levere krypterede RAT-nyttelaster (Remote Access Trojan). Kampagnen, identificeret som VOID#GEIST, anvender adskillige RAT-familier, herunder XWorm, AsyncRAT og Xeno RAT.

Angrebskæden udnytter et obfuskeret batchscript, der starter en række handlinger designet til at undgå detektion. Disse handlinger omfatter lancering af et yderligere batchscript, iscenesættelse af et legitimt integreret Python-runtime-miljø og dekryptering af krypterede shellcode-nyttelaster. Shellcoden udføres direkte i hukommelsen efter at være blevet injiceret i separate instanser af Windows-processen explorer.exe ved hjælp af en teknik kendt som Early Bird Asynchronous Procedure Call (APC)-injektion.

Scriptdrevet malwarelevering: En moderne trusselsmodel

Moderne trusselsaktører opgiver i stigende grad traditionel, uafhængig eksekverbar malware til fordel for lagdelte, scriptbaserede leveringsframeworks, der efterligner legitim brugeradfærd. I stedet for at implementere konventionelle Portable Executable (PE) binære filer, orkestrerer angriberne flerkomponentpipelines, der kombinerer flere legitime teknologier og scriptmiljøer.

Typiske komponenter, der anvendes inden for disse rammer, omfatter:

  • Batchscripts brugt til at orkestrere infektionssekvensen.
  • PowerShell-kommandoer, der muliggør skjult payload-staging.
  • Integrerede legitime runtime-funktioner, der sikrer portabilitet på tværs af systemer.
  • Rå shellcode udføres direkte i hukommelsen for at opretholde persistens og kontrol.

Denne filløse eksekveringsmetode reducerer betydeligt mulighederne for diskbaseret detektion. Hvert enkelt trin virker relativt harmløst, når det undersøges uafhængigt, og ligner ofte rutinemæssig administrativ aktivitet, hvilket giver trusselsaktører mulighed for at operere i kompromitterede miljøer uden at udløse øjeblikkelige sikkerhedsadvarsler.

Førstegangsadgang via phishing og Cloudflare-infrastruktur

Angrebets indgangspunkt begynder med et ondsindet batch-script, der leveres via phishing-e-mails. Scriptet hentes fra infrastruktur, der hostes på et TryCloudflare-domæne. Når det er udført, undgår scriptet bevidst forsøg på privilegieeskalering og opererer i stedet strengt inden for tilladelsesgrænserne for den aktuelt loggede bruger.

Denne strategi giver malwaren mulighed for at etablere sit første fodfæste, mens den integreres i rutinemæssige handlinger på brugerniveau. Ved at undgå handlinger, der kræver forhøjede rettigheder, reducerer angrebet sandsynligheden for at udløse sikkerhedsadvarsler eller administrative prompts.

Visuel distraktion og stealth-udførelsesteknikker

Efter udførelsen starter malwarens første fase et lokkedokument for at distrahere offeret. Google Chrome åbnes i fuldskærmstilstand for at vise et finansielt dokument eller en faktura præsenteret som en PDF. Mens brugeren fokuserer på dokumentet, fortsætter den ondsindede aktivitet i baggrunden.

Samtidig udføres en PowerShell-kommando for at genstarte det oprindelige batchscript med skjulte udførelsesparametre. Brugen af parameteren -WindowStyle Hidden forhindrer, at et synligt konsolvindue vises, hvilket sikrer, at den skadelige aktivitet forbliver skjult for brugeren.

Persistens gennem opstartskørsel på brugerniveau

For at opretholde systemets vedholdenhed efter genstart, installerer malwaren et ekstra batchscript i Windows-brugerens startmappe. Denne placering sikrer, at scriptet automatisk udføres, når offeret logger ind på systemet.

Denne vedholdenhedsmekanisme er bevidst subtil. I stedet for at bruge mere påtrængende teknikker, såsom at ændre systemregistreringsnøgler, oprette planlagte opgaver eller installere tjenester, er malwaren udelukkende afhængig af standard opstartsadfærd på brugerniveau. Fordi tilgangen udelukkende fungerer inden for rammerne af den aktuelle brugers rettigheder, undgår den at udløse prompter om eskalering af rettigheder og reducerer sandsynligheden for opdagelse af registreringsdatabaseovervågningsværktøjer.

Framework for hentning og dekryptering af nyttelast

I næste fase af infektionskæden kontakter malwaren et TryCloudflare-domæne for at hente yderligere nyttelastkomponenter pakket i ZIP-arkiver. Disse arkiver indeholder de moduler, der kræves for at dekryptere og udføre de endelige malware-nyttelaster.

Det downloadede arkiv indeholder typisk følgende komponenter:

  • runn.py – en Python-baseret loader, der er ansvarlig for at dekryptere og injicere krypterede shellcode-moduler i hukommelsen.
  • new.bin – krypteret shellcode-nyttelast tilknyttet XWorm
  • xn.bin – krypteret shellcode-nyttelast svarende til Xeno RAT
  • pul.bin – krypteret shellcode-nyttelast svarende til AsyncRAT
  • a.json, n.json og p.json – nøglefiler, der bruges af Python-loaderen til dynamisk at dekryptere shellcode-nyttelasterne under kørsel

Dette modulære design gør det muligt for angriberne at iscenesætte forskellige nyttelaster uafhængigt af hinanden og kun aktivere dem, når det er nødvendigt.

Indlejret Python Runtime for bærbarhed og stealth

Når arkivet er udpakket, installerer malwaren en legitim indlejret Python-runtime, der er hentet direkte fra python.org. Integrering af en legitim fortolker eliminerer afhængigheden af enhver Python-installation, der muligvis allerede findes på det kompromitterede system.

Fra en angribers perspektiv giver dette trin adskillige strategiske fordele. Malwaren bliver et selvstændigt eksekveringsmiljø, der er i stand til at dekryptere og injicere nyttelast uden at kræve eksterne afhængigheder. Dette forbedrer portabiliteten på tværs af forskellige systemer, øger pålideligheden og bidrager til operationel stealth ved at bruge legitime softwarekomponenter.

Udførelse af flere RAT-nyttelaster i hukommelsen

Den indlejrede Python-runtime bruges derefter til at udføre runn.py-indlæserskriptet. Indlæseren dekrypterer shellkoden, der er knyttet til XWorm, og injicerer den i en kørende instans af explorer.exe ved hjælp af Early Bird APC-injektion.

For at implementere Xeno RAT bruger malwaren en legitim Microsoft-binær fil kaldet AppInstallerPythonRedirector.exe, som bruges til at kalde Python og udføre de nødvendige komponenter. Den samme injektionsteknik genbruges efterfølgende til at implementere AsyncRAT, hvilket sikrer, at alle nyttelast udføres udelukkende i hukommelsen uden at efterlade traditionelle eksekverbare artefakter på disken.

Kommando-og-kontrol-beaconing og modulær arkitektur

Den sidste fase af angrebet involverer afsendelse af en minimal HTTP-beacon til den angriberkontrollerede Command-and-Control (C2)-infrastruktur, der hostes på TryCloudflare. Denne beacon bekræfter, at systemet er blevet kompromitteret og er klar til at modtage yderligere instruktioner.

Selvom kampagnens specifikke mål forbliver ukendte, demonstrerer infektionskæden en meget modulær arkitektur. I stedet for at implementere en enkelt stor malware-nyttelast introducerer angriberne komponenter trinvist på tværs af flere faser. Dette design forbedrer operationel fleksibilitet og robusthed.

Fra et detektionsperspektiv fremgår en bemærkelsesværdig adfærdsindikator gennem hele kampagnen: gentagen procesinjektion i explorer.exe inden for korte tidsintervaller. Dette mønster kan tjene som et stærkt signal for forsvarere, der forsøger at korrelere mistænkelig aktivitet på tværs af forskellige stadier af angrebets livscyklus.

Trending

Mest sete

Indlæser...