Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare VOID#GEIST-skadevare

VOID#GEIST-skadevare

Med Mezo i Skadelig programvare, Fjernadministrasjonsverktøy
Oversett til:

Forskere innen nettsikkerhet har avdekket en sofistikert flertrinns malware-kampanje som bruker batch-skript for å levere krypterte nyttelaster for fjerntilgangstrojanere (RAT). Kampanjen, identifisert som VOID#GEIST, bruker flere RAT-familier, inkludert XWorm, AsyncRAT og Xeno RAT.

Angrepskjeden utnytter et obfuskert batchskript som starter en rekke handlinger som er utformet for å unngå deteksjon. Disse handlingene inkluderer å starte et ekstra batchskript, iscenesette et legitimt innebygd Python-kjøretidsmiljø og dekryptere krypterte shellcode-nyttelaster. Shellcoden kjøres direkte i minnet etter å ha blitt injisert i separate forekomster av Windows-prosessen explorer.exe ved hjelp av en teknikk kjent som Early Bird Asynchronous Procedure Call (APC)-injeksjon.

Skriptdrevet levering av skadelig programvare: En moderne trusselmodell

Moderne trusselaktører forlater i økende grad tradisjonell frittstående kjørbar skadelig programvare til fordel for lagdelte, skriptbaserte leveringsrammeverk som etterligner legitim brukeratferd. I stedet for å distribuere konvensjonelle Portable Executable (PE) binærfiler, orkestrerer angripere flerkomponents pipelines som kombinerer flere legitime teknologier og skriptmiljøer.

Typiske komponenter som brukes innenfor disse rammeverkene inkluderer:

  • Batch-skript brukt til å orkestrere infeksjonssekvensen.
  • PowerShell-kommandoer som muliggjør skjult nyttelaststaging.
  • Innebygde legitime kjøretider som sikrer portabilitet på tvers av systemer.
  • Rå skallkode kjøres direkte i minnet for å opprettholde utholdenhet og kontroll.

Denne filløse utførelsesmetoden reduserer mulighetene for diskbasert deteksjon betydelig. Hvert enkelt trinn virker relativt harmløst når det undersøkes uavhengig og ligner ofte rutinemessig administrativ aktivitet, slik at trusselaktører kan operere i kompromitterte miljøer uten å utløse umiddelbare sikkerhetsvarsler.

Førstegangstilgang via phishing og Cloudflare-infrastruktur

Inngangspunktet for angrepet starter med et ondsinnet batch-skript levert via phishing-e-poster. Skriptet hentes fra infrastruktur som ligger på et TryCloudflare-domene. Når det er utført, unngår skriptet bevisst forsøk på rettighetseskalering og opererer i stedet strengt innenfor tillatelsesgrensene til den for øyeblikket innloggede brukeren.

Denne strategien lar skadevaren etablere sitt første fotfeste samtidig som den integreres i rutinemessige operasjoner på brukernivå. Ved å unngå handlinger som krever utvidede rettigheter, reduserer angrepet sannsynligheten for å utløse sikkerhetsadvarsler eller administrative forespørsler.

Visuell distraksjon og stealth-utførelsesteknikker

Etter kjøringen starter den første fasen av skadevaren et lokkedokument for å distrahere offeret. Google Chrome åpnes i fullskjermmodus for å vise et finansielt dokument eller en faktura presentert som en PDF. Mens brukeren fokuserer på dokumentet, fortsetter ondsinnet aktivitet i bakgrunnen.

Samtidig kjøres en PowerShell-kommando for å starte det opprinnelige batch-skriptet på nytt med skjulte utførelsesparametere. Bruken av -WindowStyle Hidden-parameteren forhindrer at et synlig konsollvindu vises, noe som sikrer at den ondsinnede aktiviteten forblir skjult for brukeren.

Persistens gjennom oppstart på brukernivå

For å opprettholde systemets varighet etter omstart, distribuerer skadevaren et ekstra batchskript i Windows-brukerens oppstartskatalog. Denne plasseringen sikrer at skriptet kjøres automatisk når offeret logger seg på systemet.

Denne vedvarende mekanismen er bevisst subtil. I stedet for å bruke mer påtrengende teknikker som å endre systemregisternøkler, opprette planlagte oppgaver eller installere tjenester, er skadevaren utelukkende avhengig av standard oppstartsatferd på brukernivå. Fordi tilnærmingen opererer utelukkende innenfor konteksten av den nåværende brukerens rettigheter, unngår den å utløse forespørsler om rettighetseskalering og reduserer sannsynligheten for at den blir oppdaget av registerovervåkingsverktøy.

Rammeverk for henting og dekryptering av nyttelast

I løpet av neste fase av infeksjonskjeden kontakter skadevaren et TryCloudflare-domene for å hente ytterligere nyttelastkomponenter pakket i ZIP-arkiver. Disse arkivene inneholder modulene som kreves for å dekryptere og kjøre de endelige nyttelastene fra skadevaren.

Det nedlastede arkivet inneholder vanligvis følgende komponenter:

  • runn.py – en Python-basert laster som er ansvarlig for å dekryptere og injisere krypterte skallkodemoduler i minnet
  • new.bin – kryptert skallkode-nyttelast tilknyttet XWorm
  • xn.bin – kryptert skallkodenyttelast som tilsvarer Xeno RAT
  • pul.bin – kryptert skallkodenyttelast som tilsvarer AsyncRAT
  • a.json, n.json og p.json – nøkkelfiler som brukes av Python-lasteren til å dekryptere skallkodenyttelastene dynamisk under kjøretid

Denne modulære designen gjør det mulig for angriperne å iscenesette forskjellige nyttelaster uavhengig av hverandre og bare aktivere dem når det er nødvendig.

Innebygd Python Runtime for portabilitet og skjult bruk

Når arkivet er pakket ut, distribuerer skadevaren en legitim innebygd Python-kjøretidsfil hentet direkte fra python.org. Å bygge inn en legitim tolk eliminerer avhengigheten av Python-installasjoner som allerede finnes på det kompromitterte systemet.

Fra en angripers perspektiv gir dette trinnet flere strategiske fordeler. Skadevaren blir et selvstendig utførelsesmiljø som er i stand til å dekryptere og injisere nyttelaster uten å kreve eksterne avhengigheter. Dette forbedrer portabiliteten på tvers av forskjellige systemer, øker påliteligheten og bidrar til operasjonell stealth ved å bruke legitime programvarekomponenter.

Utførelse av flere RAT-nyttelaster i minnet

Den innebygde Python-kjøretiden brukes deretter til å kjøre runn.py-lasteskriptet. Lasteren dekrypterer skallkoden som er knyttet til XWorm og injiserer den i en kjørende instans av explorer.exe ved hjelp av Early Bird APC-injeksjon.

For å distribuere Xeno RAT bruker skadevaren en legitim Microsoft-binærfil kalt AppInstallerPythonRedirector.exe, som brukes til å starte Python og kjøre de nødvendige komponentene. Den samme injeksjonsteknikken brukes deretter på nytt for å distribuere AsyncRAT, noe som sikrer at alle nyttelaster kjøres fullstendig i minnet uten å etterlate tradisjonelle kjørbare artefakter på disken.

Kommando-og-kontroll-beaconing og modulær arkitektur

Den siste fasen av angrepet innebærer å sende en minimal HTTP-beacon til angriperkontrollert Command-and-Control (C2)-infrastruktur som ligger på TryCloudflare. Denne beaconen bekrefter at systemet har blitt kompromittert og er klart til å motta ytterligere instruksjoner.

Selv om de spesifikke målene for kampanjen fortsatt er ukjente, viser infeksjonskjeden en svært modulær arkitektur. I stedet for å distribuere én stor nyttelast med skadelig programvare, introduserer angriperne komponenter trinnvis på tvers av flere stadier. Denne designen forbedrer driftsfleksibilitet og robusthet.

Fra et deteksjonsperspektiv dukker det opp én bemerkelsesverdig atferdsindikator gjennom hele kampanjen: gjentatt prosessinjeksjon i explorer.exe innen korte tidsintervaller. Dette mønsteret kan tjene som et sterkt signal for forsvarere som prøver å korrelere mistenkelig aktivitet på tvers av ulike stadier av angrepslivssyklusen.

Trender

Mest sett

Laster inn...