VOID#GEIST मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एक परिष्कृत बहु-स्तरीय मैलवेयर अभियान का पर्दाफाश किया है जो एन्क्रिप्टेड रिमोट एक्सेस ट्रोजन (RAT) पेलोड वितरित करने के लिए बैच स्क्रिप्ट पर निर्भर करता है। VOID#GEIST के रूप में पहचाना गया यह अभियान XWorm, AsyncRAT और Xeno RAT सहित कई RAT परिवारों को तैनात करता है।

इस हमले में एक अस्पष्ट बैच स्क्रिप्ट का उपयोग किया जाता है जो पता लगने से बचने के लिए कई क्रियाएं शुरू करती है। इन क्रियाओं में एक अतिरिक्त बैच स्क्रिप्ट चलाना, एक वैध एम्बेडेड पायथन रनटाइम वातावरण स्थापित करना और एन्क्रिप्टेड शेलकोड पेलोड को डिक्रिप्ट करना शामिल है। शेलकोड को अर्ली बर्ड एसिंक्रोनस प्रोसीजर कॉल (APC) नामक तकनीक का उपयोग करके विंडोज प्रोसेस explorer.exe के अलग-अलग इंस्टेंस में इंजेक्ट करने के बाद सीधे मेमोरी में निष्पादित किया जाता है।

स्क्रिप्ट-आधारित मैलवेयर वितरण: एक आधुनिक खतरा मॉडल

आधुनिक हमलावर पारंपरिक स्टैंडअलोन निष्पादन योग्य मैलवेयर को छोड़कर, वैध उपयोगकर्ता व्यवहार की नकल करने वाले स्तरित, स्क्रिप्ट-आधारित वितरण फ्रेमवर्क का उपयोग कर रहे हैं। पारंपरिक पोर्टेबल निष्पादन योग्य (पीई) बाइनरी को तैनात करने के बजाय, हमलावर कई वैध तकनीकों और स्क्रिप्टिंग वातावरणों को मिलाकर बहु-घटक पाइपलाइन तैयार करते हैं।

इन ढाँचों में उपयोग किए जाने वाले विशिष्ट घटक निम्नलिखित हैं:

• संक्रमण अनुक्रम को व्यवस्थित करने के लिए बैच स्क्रिप्ट का उपयोग किया जाता है।
• पॉवरशेल कमांड जो गुप्त रूप से पेलोड स्टेजिंग को सुविधाजनक बनाते हैं।
• इसमें वैध रनटाइम अंतर्निहित हैं जो सिस्टमों के बीच सुवाह्यता सुनिश्चित करते हैं।
• निरंतरता और नियंत्रण बनाए रखने के लिए रॉ शेलकोड को सीधे मेमोरी में निष्पादित किया जाता है।

फाइललेस निष्पादन का यह तरीका डिस्क-आधारित पहचान की संभावनाओं को काफी हद तक कम कर देता है। प्रत्येक चरण स्वतंत्र रूप से जांचे जाने पर अपेक्षाकृत हानिरहित प्रतीत होता है और अक्सर नियमित प्रशासनिक गतिविधि जैसा दिखता है, जिससे हमलावर तत्काल सुरक्षा अलर्ट जारी किए बिना असुरक्षित वातावरण में काम कर सकते हैं।

फ़िशिंग और क्लाउडफ्लेयर इन्फ्रास्ट्रक्चर के माध्यम से प्रारंभिक पहुंच

इस हमले की शुरुआत फ़िशिंग ईमेल के ज़रिए भेजे गए एक दुर्भावनापूर्ण बैच स्क्रिप्ट से होती है। यह स्क्रिप्ट TryCloudflare डोमेन पर होस्ट किए गए इंफ्रास्ट्रक्चर से प्राप्त की जाती है। एक बार निष्पादित होने पर, स्क्रिप्ट जानबूझकर विशेषाधिकार बढ़ाने के प्रयासों से बचती है और इसके बजाय वर्तमान में लॉग-इन उपयोगकर्ता की अनुमति सीमाओं के भीतर ही काम करती है।

यह रणनीति मैलवेयर को सामान्य उपयोगकर्ता-स्तरीय कार्यों में घुलमिलकर अपनी प्रारंभिक पकड़ स्थापित करने की अनुमति देती है। उच्च विशेषाधिकारों की आवश्यकता वाले कार्यों से बचकर, यह हमला सुरक्षा चेतावनियों या प्रशासनिक संकेतों के उत्पन्न होने की संभावना को कम करता है।

दृश्य विकर्षण और गुप्त निष्पादन तकनीकें

मैलवेयर के चलने के बाद, इसका पहला चरण पीड़ित का ध्यान भटकाने के लिए एक नकली दस्तावेज़ लॉन्च करता है। Google Chrome फुल-स्क्रीन मोड में खुलता है और उसमें एक वित्तीय दस्तावेज़ या इनवॉइस PDF के रूप में प्रदर्शित होता है। जब उपयोगकर्ता दस्तावेज़ पर ध्यान केंद्रित करता है, तब पृष्ठभूमि में दुर्भावनापूर्ण गतिविधि जारी रहती है।

साथ ही, छिपे हुए निष्पादन मापदंडों के साथ मूल बैच स्क्रिप्ट को पुनः प्रारंभ करने के लिए एक पॉवरशेल कमांड निष्पादित किया जाता है। -WindowStyle Hidden पैरामीटर का उपयोग दृश्यमान कंसोल विंडो को प्रदर्शित होने से रोकता है, जिससे यह सुनिश्चित होता है कि दुर्भावनापूर्ण गतिविधि उपयोगकर्ता से छिपी रहे।

उपयोगकर्ता-स्तर स्टार्टअप निष्पादन के माध्यम से निरंतरता

सिस्टम रीबूट होने के बाद भी अपनी उपस्थिति बनाए रखने के लिए, मैलवेयर विंडोज उपयोगकर्ता के स्टार्टअप डायरेक्टरी में एक सहायक बैच स्क्रिप्ट तैनात करता है। यह स्थान सुनिश्चित करता है कि जब भी पीड़ित सिस्टम में लॉग इन करे, स्क्रिप्ट स्वचालित रूप से निष्पादित हो जाए।

यह परसिस्टेंस मैकेनिज़्म जानबूझकर सूक्ष्म तरीके से काम करता है। सिस्टम रजिस्ट्री कुंजी को संशोधित करने, निर्धारित कार्य बनाने या सेवाएं स्थापित करने जैसी अधिक आक्रामक तकनीकों का उपयोग करने के बजाय, मैलवेयर पूरी तरह से मानक उपयोगकर्ता-स्तरीय स्टार्टअप व्यवहार पर निर्भर करता है। चूंकि यह तरीका पूरी तरह से वर्तमान उपयोगकर्ता के विशेषाधिकारों के दायरे में काम करता है, इसलिए यह विशेषाधिकार वृद्धि के लिए संकेत उत्पन्न करने से बचता है और रजिस्ट्री निगरानी उपकरणों द्वारा पता लगने की संभावना को कम करता है।

पेलोड पुनर्प्राप्ति और डिक्रिप्शन फ्रेमवर्क

संक्रमण श्रृंखला के अगले चरण के दौरान, मैलवेयर TryCloudflare डोमेन से संपर्क करके ZIP आर्काइव में पैक किए गए अतिरिक्त पेलोड घटकों को प्राप्त करता है। इन आर्काइव में अंतिम मैलवेयर पेलोड को डिक्रिप्ट और निष्पादित करने के लिए आवश्यक मॉड्यूल होते हैं।

डाउनलोड किए गए आर्काइव में आमतौर पर निम्नलिखित घटक होते हैं:

• runn.py – एक पायथन-आधारित लोडर है जो एन्क्रिप्टेड शेलकोड मॉड्यूल को डिक्रिप्ट करने और मेमोरी में इंजेक्ट करने के लिए जिम्मेदार है।
• new.bin – XWorm से जुड़ा एन्क्रिप्टेड शेलकोड पेलोड
• xn.bin – Xeno RAT के अनुरूप एन्क्रिप्टेड शेलकोड पेलोड
• pul.bin – AsyncRAT के अनुरूप एन्क्रिप्टेड शेलकोड पेलोड
• a.json, n.json और p.json – ये वो कुंजी फाइलें हैं जिनका उपयोग पायथन लोडर द्वारा रनटाइम के दौरान शेलकोड पेलोड को गतिशील रूप से डिक्रिप्ट करने के लिए किया जाता है।

इस मॉड्यूलर डिजाइन से हमलावरों को अलग-अलग पेलोड को स्वतंत्र रूप से तैयार करने और आवश्यकता पड़ने पर ही उन्हें सक्रिय करने की सुविधा मिलती है।

सुवाह्यता और गोपनीयता के लिए एम्बेडेड पायथन रनटाइम

आर्काइव निकालने के बाद, मैलवेयर सीधे python.org से प्राप्त एक वैध एम्बेडेड पायथन रनटाइम को तैनात करता है। एक वैध इंटरप्रेटर को एम्बेड करने से प्रभावित सिस्टम पर पहले से मौजूद किसी भी पायथन इंस्टॉलेशन पर निर्भरता समाप्त हो जाती है।

हमलावर के दृष्टिकोण से, यह कदम कई रणनीतिक लाभ प्रदान करता है। मैलवेयर एक स्व-निहित निष्पादन वातावरण बन जाता है जो बाहरी निर्भरताओं की आवश्यकता के बिना पेलोड को डिक्रिप्ट करने और इंजेक्ट करने में सक्षम होता है। इससे विभिन्न प्रणालियों में सुवाह्यता में सुधार होता है, विश्वसनीयता बढ़ती है और वैध सॉफ़्टवेयर घटकों का उपयोग करके परिचालन गोपनीयता में योगदान मिलता है।

एकाधिक RAT पेलोड का इन-मेमोरी निष्पादन

इसके बाद एम्बेडेड पायथन रनटाइम का उपयोग runn.py लोडर स्क्रिप्ट को निष्पादित करने के लिए किया जाता है। लोडर XWorm से जुड़े शेलकोड को डिक्रिप्ट करता है और अर्ली बर्ड APC इंजेक्शन का उपयोग करके इसे explorer.exe के चल रहे इंस्टेंस में इंजेक्ट करता है।

Xeno RAT को तैनात करने के लिए, मैलवेयर AppInstallerPythonRedirector.exe नामक एक वैध Microsoft बाइनरी का उपयोग करता है, जिसका उपयोग Python को शुरू करने और आवश्यक घटकों को निष्पादित करने के लिए किया जाता है। इसी इंजेक्शन तकनीक का बाद में AsyncRAT को तैनात करने के लिए पुन: उपयोग किया जाता है, जिससे यह सुनिश्चित होता है कि सभी पेलोड पूरी तरह से मेमोरी में निष्पादित हों और डिस्क पर कोई पारंपरिक निष्पादन योग्य फ़ाइलें न रहें।

कमांड-एंड-कंट्रोल बीकनिंग और मॉड्यूलर आर्किटेक्चर

हमले के अंतिम चरण में TryCloudflare पर होस्ट किए गए हमलावर-नियंत्रित कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर को एक न्यूनतम HTTP बीकन भेजा जाता है। यह बीकन पुष्टि करता है कि सिस्टम को सफलतापूर्वक हैक कर लिया गया है और वह आगे के निर्देश प्राप्त करने के लिए तैयार है।

हालांकि अभियान के विशिष्ट लक्ष्य अज्ञात हैं, लेकिन संक्रमण श्रृंखला एक अत्यधिक मॉड्यूलर संरचना को दर्शाती है। हमलावर एक ही बार में बड़ा मैलवेयर लोड भेजने के बजाय, कई चरणों में धीरे-धीरे घटक जोड़ते हैं। यह डिज़ाइन परिचालन लचीलापन और मजबूती को बढ़ाता है।

जांच के दृष्टिकोण से, पूरे अभियान के दौरान एक उल्लेखनीय व्यवहारिक संकेतक उभरता है: थोड़े-थोड़े समय अंतराल में बार-बार explorer.exe में प्रोसेस इंजेक्शन। यह पैटर्न हमलावरों के लिए एक मजबूत संकेत के रूप में काम कर सकता है, जो हमले के जीवनचक्र के विभिन्न चरणों में संदिग्ध गतिविधि का सहसंबंध स्थापित करने का प्रयास कर रहे हैं।