Ponuda s popustom na više licenci
Baza prijetnji Malware VOID#GEIST Zlonamjerni softver

VOID#GEIST Zlonamjerni softver

Do Mezo. Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sofisticiranu višefaznu kampanju zlonamjernog softvera koja se oslanja na batch skripte za isporuku šifriranih podataka trojanca za udaljeni pristup (RAT). Kampanja, identificirana kao VOID#GEIST, koristi nekoliko RAT obitelji, uključujući XWorm, AsyncRAT i Xeno RAT.

Lanac napada koristi maskiranu batch skriptu koja pokreće niz radnji osmišljenih za izbjegavanje otkrivanja. Te radnje uključuju pokretanje dodatne batch skripte, postavljanje legitimnog ugrađenog Python runtime okruženja i dešifriranje šifriranih shellcode sadržaja. Shellcode se izvršava izravno u memoriji nakon što se ubrizga u odvojene instance Windows procesa explorer.exe pomoću tehnike poznate kao Early Bird Asynchronous Procedure Call (APC) injekcija.

Isporuka zlonamjernog softvera vođena skriptama: Moderni model prijetnje

Moderni akteri prijetnji sve više napuštaju tradicionalne samostalne izvršne zlonamjerne programe u korist slojevitih okvira za isporuku temeljenih na skriptama koji oponašaju legitimno ponašanje korisnika. Umjesto implementacije konvencionalnih prenosivih izvršnih (PE) binarnih datoteka, napadači orkestriraju višekomponentne cjevovode koji kombiniraju nekoliko legitimnih tehnologija i okruženja za skriptiranje.

Tipične komponente koje se koriste unutar ovih okvira uključuju:

  • Grupne skripte koje se koriste za orkestriranje sekvence infekcije.
  • PowerShell naredbe koje olakšavaju prikriveno postavljanje korisnog tereta.
  • Ugrađena legitimna okruženja za izvođenje koja osiguravaju prenosivost između sustava.
  • Sirovi shellcode izvršava se izravno u memoriji radi održavanja perzistencije i kontrole.

Ovaj pristup izvršavanja bez datoteka značajno smanjuje mogućnosti detekcije na disku. Svaka pojedinačna faza čini se relativno bezopasnom kada se zasebno ispituje i često nalikuje rutinskoj administrativnoj aktivnosti, omogućujući prijetnjama djelovanje unutar kompromitovanih okruženja bez izravnog aktiviranja sigurnosnih upozorenja.

Početni pristup putem phishinga i Cloudflare infrastrukture

Ulazna točka napada započinje zlonamjernim batch skriptom koji se isporučuje putem phishing e-poruka. Skripta se preuzima s infrastrukture smještene na TryCloudflare domeni. Nakon izvršenja, skripta namjerno izbjegava pokušaje eskalacije privilegija i umjesto toga djeluje strogo unutar granica dopuštenja trenutno prijavljenog korisnika.

Ova strategija omogućuje zlonamjernom softveru da uspostavi svoje početno uporište dok se istovremeno uklapa u rutinske operacije na razini korisnika. Izbjegavanjem radnji koje zahtijevaju povišene privilegije, napad smanjuje vjerojatnost pokretanja sigurnosnih upozorenja ili administratorskih upita.

Vizualna distrakcija i tehnike prikrivenog izvršenja

Nakon izvršenja, prva faza zlonamjernog softvera pokreće dokument mamac kako bi odvratila pažnju žrtve. Google Chrome se otvara u načinu rada preko cijelog zaslona kako bi prikazao financijski dokument ili račun predstavljen kao PDF. Dok se korisnik usredotočuje na dokument, zlonamjerna aktivnost se nastavlja u pozadini.

Istovremeno se izvršava PowerShell naredba za ponovno pokretanje izvorne batch skripte sa skrivenim parametrima izvršavanja. Korištenje parametra -WindowStyle Hidden sprječava pojavljivanje vidljivog prozora konzole, osiguravajući da zlonamjerna aktivnost ostane skrivena od korisnika.

Upornost kroz izvršavanje pokretanja na razini korisnika

Kako bi održao postojanost nakon ponovnog pokretanja sustava, zlonamjerni softver postavlja pomoćni batch skript u direktorij Startup korisnika sustava Windows. Ova lokacija osigurava da se skripta automatski izvršava svaki put kada se žrtva prijavi u sustav.

Ovaj mehanizam perzistentnosti je namjerno suptilan. Umjesto korištenja nametljivijih tehnika poput mijenjanja ključeva registra sustava, stvaranja zakazanih zadataka ili instaliranja usluga, zlonamjerni softver se oslanja isključivo na standardno ponašanje pokretanja na razini korisnika. Budući da pristup djeluje u potpunosti unutar konteksta privilegija trenutnog korisnika, izbjegava pokretanje upita za eskalaciju privilegija i smanjuje vjerojatnost otkrivanja alatima za praćenje registra.

Okvir za preuzimanje i dešifriranje korisnog tereta

Tijekom sljedeće faze lanca infekcije, zlonamjerni softver kontaktira TryCloudflare domenu kako bi preuzeo dodatne komponente sadržaja zapakirane u ZIP arhive. Ove arhive sadrže module potrebne za dešifriranje i izvršavanje konačnih sadržaja zlonamjernog softvera.

Preuzeta arhiva obično sadrži sljedeće komponente:

  • runn.py – program za učitavanje temeljen na Pythonu odgovoran za dešifriranje i ubrizgavanje šifriranih shellcode modula u memoriju
  • new.bin – šifrirani shellcode payload povezan s XWormom
  • xn.bin – šifrirani shellcode payload koji odgovara Xeno RAT-u
  • pul.bin – šifrirani shellcode korisni sadržaj koji odgovara AsyncRAT-u
  • a.json, n.json i p.json – ključne datoteke koje Python loader koristi za dinamičko dešifriranje shellcode sadržaja tijekom izvođenja.

Ovaj modularni dizajn omogućuje napadačima da neovisno postavljaju različite korisne terete i aktiviraju ih samo kada je to potrebno.

Ugrađeno Python Runtime okruženje za prenosivost i prikrivenost

Nakon što se arhiva raspakira, zlonamjerni softver implementira legitimno ugrađeno Python runtime okruženje dobiveno izravno s python.org. Ugradnja legitimnog interpretera eliminira ovisnost o bilo kojoj Python instalaciji koja možda već postoji na kompromitiranom sustavu.

Iz perspektive napadača, ovaj korak pruža nekoliko strateških prednosti. Zlonamjerni softver postaje samostalno izvršno okruženje sposobno za dešifriranje i ubrizgavanje korisnih podataka bez potrebe za vanjskim ovisnostima. To poboljšava prenosivost između različitih sustava, povećava pouzdanost i doprinosi operativnoj prikrivenosti korištenjem legitimnih softverskih komponenti.

Izvršavanje više RAT korisnih podataka u memoriji

Ugrađeno Python runtime okruženje se zatim koristi za izvršavanje runn.py skripte za učitavanje. Učitavač dešifrira shellcode povezan s XWormom i ubrizgava ga u pokrenutu instancu explorer.exe pomoću Early Bird APC injekcije.

Za implementaciju Xeno RAT-a, zlonamjerni softver koristi legitimnu Microsoftovu binarnu datoteku pod nazivom AppInstallerPythonRedirector.exe, koja se koristi za pozivanje Pythona i izvršavanje potrebnih komponenti. Ista tehnika ubrizgavanja naknadno se ponovno koristi za implementaciju AsyncRAT-a, osiguravajući da se svi korisni sadržaji izvršavaju u potpunosti u memoriji bez ostavljanja tradicionalnih izvršnih artefakata na disku.

Zapovjedno-kontrolno odašiljanje signala i modularna arhitektura

Završna faza napada uključuje slanje minimalnog HTTP signala napadaču kontroliranoj Command-and-Control (C2) infrastrukturi smještenoj na TryCloudflareu. Ovaj signal potvrđuje da je sustav uspješno kompromitiran i spreman je za primanje daljnjih uputa.

Iako specifični ciljevi kampanje ostaju nepoznati, lanac infekcije pokazuje visoko modularnu arhitekturu. Umjesto implementacije jednog velikog zlonamjernog sadržaja, napadači postupno uvode komponente u više faza. Ovaj dizajn poboljšava operativnu fleksibilnost i otpornost.

Iz perspektive detekcije, tijekom kampanje pojavljuje se jedan značajan pokazatelj ponašanja: ponovljeno ubrizgavanje procesa u explorer.exe u kratkim vremenskim intervalima. Ovaj obrazac može poslužiti kao snažan signal braniteljima koji pokušavaju povezati sumnjive aktivnosti u različitim fazama životnog ciklusa napada.

U trendu

Nagledanije

Učitavam...