VOID#GEIST मालवेयर

साइबरसुरक्षा अनुसन्धानकर्ताहरूले एक परिष्कृत बहु-चरण मालवेयर अभियान पत्ता लगाएका छन् जुन एन्क्रिप्टेड रिमोट एक्सेस ट्रोजन (RAT) पेलोडहरू डेलिभर गर्न ब्याच स्क्रिप्टहरूमा निर्भर गर्दछ। VOID#GEIST को रूपमा पहिचान गरिएको अभियानले XWorm, AsyncRAT, र Xeno RAT सहित धेरै RAT परिवारहरू तैनाथ गर्दछ।

आक्रमण श्रृंखलाले अस्पष्ट ब्याच स्क्रिप्टको प्रयोग गर्दछ जसले पत्ता लगाउनबाट बच्न डिजाइन गरिएका कार्यहरूको अनुक्रम सुरु गर्दछ। यी कार्यहरूमा अतिरिक्त ब्याच स्क्रिप्ट सुरु गर्ने, वैध इम्बेडेड पाइथन रनटाइम वातावरण स्टेज गर्ने, र इन्क्रिप्टेड शेलकोड पेलोडहरू डिक्रिप्ट गर्ने समावेश छ। अर्ली बर्ड एसिन्क्रोनस प्रोसिजर कल (APC) इन्जेक्सन भनेर चिनिने प्रविधि प्रयोग गरेर विन्डोज प्रक्रिया explorer.exe को छुट्टै उदाहरणहरूमा इन्जेक्ट गरिसकेपछि शेलकोड सिधै मेमोरीमा कार्यान्वयन गरिन्छ।

स्क्रिप्ट-संचालित मालवेयर डेलिभरी: एक आधुनिक खतरा मोडेल

आधुनिक खतरा अभिनेताहरूले वैध प्रयोगकर्ता व्यवहारको नक्कल गर्ने स्तरित, स्क्रिप्ट-आधारित डेलिभरी फ्रेमवर्कको पक्षमा परम्परागत स्ट्यान्डअलोन एक्जिक्युटेबल मालवेयरलाई बढ्दो रूपमा त्यागिरहेका छन्। परम्परागत पोर्टेबल एक्जिक्युटेबल (PE) बाइनरीहरू तैनाथ गर्नुको सट्टा, आक्रमणकारीहरूले धेरै वैध प्रविधिहरू र स्क्रिप्टिङ वातावरणहरू संयोजन गर्ने बहु-घटक पाइपलाइनहरू व्यवस्थित गर्छन्।

यी ढाँचाहरू भित्र प्रयोग हुने विशिष्ट घटकहरू समावेश छन्:

• संक्रमण अनुक्रम व्यवस्थित गर्न प्रयोग गरिने ब्याच स्क्रिप्टहरू।
• पावरशेल आदेशहरू जसले स्टिल्थी पेलोड स्टेजिङलाई सहज बनाउँछ।
• प्रणालीहरूमा पोर्टेबिलिटी सुनिश्चित गर्ने इम्बेडेड वैध रनटाइमहरू।
• स्थिरता र नियन्त्रण कायम राख्न कच्चा शेलकोड सिधै मेमोरीमा कार्यान्वयन गरिन्छ।

यो फाइलरहित कार्यान्वयन दृष्टिकोणले डिस्क-आधारित पत्ता लगाउने अवसरहरूलाई उल्लेखनीय रूपमा कम गर्छ। प्रत्येक व्यक्तिगत चरण स्वतन्त्र रूपमा जाँच गर्दा तुलनात्मक रूपमा हानिरहित देखिन्छ र प्रायः नियमित प्रशासनिक गतिविधिसँग मिल्दोजुल्दो हुन्छ, जसले गर्दा खतरा अभिनेताहरूलाई तत्काल सुरक्षा अलर्टहरू नबनाई सम्झौता गरिएको वातावरण भित्र सञ्चालन गर्न अनुमति दिन्छ।

फिसिङ र क्लाउडफ्लेयर पूर्वाधार मार्फत प्रारम्भिक पहुँच

आक्रमणको प्रवेश बिन्दु फिसिङ इमेलहरू मार्फत डेलिभर गरिएको दुर्भावनापूर्ण ब्याच स्क्रिप्टबाट सुरु हुन्छ। स्क्रिप्ट TryCloudflare डोमेनमा होस्ट गरिएको पूर्वाधारबाट प्राप्त गरिन्छ। एक पटक कार्यान्वयन भएपछि, स्क्रिप्टले जानाजानी विशेषाधिकार वृद्धि प्रयासहरूलाई बेवास्ता गर्छ र यसको सट्टा हाल लग-इन गरिएको प्रयोगकर्ताको अनुमति सीमा भित्र कडाइका साथ काम गर्छ।

यो रणनीतिले मालवेयरलाई नियमित प्रयोगकर्ता-स्तर सञ्चालनहरूमा मिसाएर आफ्नो प्रारम्भिक उपस्थिति स्थापित गर्न अनुमति दिन्छ। उच्च विशेषाधिकार आवश्यक पर्ने कार्यहरू बेवास्ता गरेर, आक्रमणले सुरक्षा चेतावनी वा प्रशासनिक प्रम्प्टहरू ट्रिगर गर्ने सम्भावनालाई कम गर्छ।

दृश्य विचलन र चुपचाप कार्यान्वयन प्रविधिहरू

कार्यान्वयन पछि, मालवेयरको पहिलो चरणले पीडितको ध्यान भंग गर्न एक डिकॉय कागजात सुरु गर्दछ। गुगल क्रोमलाई PDF को रूपमा प्रस्तुत गरिएको वित्तीय कागजात वा इनभ्वाइस प्रदर्शन गर्न पूर्ण-स्क्रिन मोडमा खोलिन्छ। प्रयोगकर्ताले कागजातमा ध्यान केन्द्रित गर्दा, पृष्ठभूमिमा दुर्भावनापूर्ण गतिविधि जारी रहन्छ।

एकै साथ, लुकेका कार्यान्वयन प्यारामिटरहरू सहितको मूल ब्याच स्क्रिप्ट पुन: सुरु गर्न PowerShell आदेश कार्यान्वयन गरिन्छ। -WindowStyle हिडन प्यारामिटरको प्रयोगले दृश्यात्मक कन्सोल विन्डो देखा पर्नबाट रोक्छ, जसले गर्दा प्रयोगकर्ताबाट दुर्भावनापूर्ण गतिविधि लुकेको छ भन्ने कुरा सुनिश्चित हुन्छ।

प्रयोगकर्ता-स्तर स्टार्टअप कार्यान्वयन मार्फत दृढता

प्रणाली रिबुट पछि स्थिरता कायम राख्न, मालवेयरले विन्डोज प्रयोगकर्ता स्टार्टअप डाइरेक्टरीमा सहायक ब्याच स्क्रिप्ट तैनाथ गर्दछ। यो स्थानले पीडितले प्रणालीमा लग इन गर्दा स्क्रिप्ट स्वचालित रूपमा कार्यान्वयन भएको सुनिश्चित गर्दछ।

यो दृढता संयन्त्र जानाजानी सूक्ष्म छ। प्रणाली रजिस्ट्री कुञ्जीहरू परिमार्जन गर्ने, निर्धारित कार्यहरू सिर्जना गर्ने, वा सेवाहरू स्थापना गर्ने जस्ता थप हस्तक्षेपकारी प्रविधिहरू प्रयोग गर्नुको सट्टा, मालवेयर विशेष रूपमा मानक प्रयोगकर्ता-स्तरको स्टार्टअप व्यवहारमा निर्भर गर्दछ। किनभने यो दृष्टिकोण हालको प्रयोगकर्ताको विशेषाधिकारको सन्दर्भ भित्र पूर्ण रूपमा सञ्चालन हुन्छ, यसले विशेषाधिकार वृद्धि प्रम्प्टहरू ट्रिगर गर्नबाट जोगाउँछ र रजिस्ट्री निगरानी उपकरणहरू द्वारा पत्ता लगाउने सम्भावना कम गर्छ।

पेलोड पुनःप्राप्ति र डिक्रिप्शन फ्रेमवर्क

संक्रमण शृङ्खलाको अर्को चरणमा, मालवेयरले ZIP अभिलेखहरूमा प्याकेज गरिएका थप पेलोड कम्पोनेन्टहरू पुन: प्राप्त गर्न TryCloudflare डोमेनलाई सम्पर्क गर्छ। यी अभिलेखहरूमा अन्तिम मालवेयर पेलोडहरू डिक्रिप्ट र कार्यान्वयन गर्न आवश्यक मोड्युलहरू हुन्छन्।

डाउनलोड गरिएको अभिलेखमा सामान्यतया निम्न घटकहरू हुन्छन्:

• runn.py – पाइथनमा आधारित लोडर जसले इन्क्रिप्टेड शेलकोड मोड्युलहरूलाई मेमोरीमा डिक्रिप्ट र इन्जेक्ट गर्न जिम्मेवार हुन्छ।
• new.bin – XWorm सँग सम्बन्धित इन्क्रिप्टेड शेलकोड पेलोड
• xn.bin – Xeno RAT सँग सम्बन्धित इन्क्रिप्टेड शेलकोड पेलोड
• pul.bin – AsyncRAT सँग सम्बन्धित इन्क्रिप्टेड शेलकोड पेलोड
• a.json, n.json, र p.json - रनटाइमको समयमा गतिशील रूपमा शेलकोड पेलोडहरू डिक्रिप्ट गर्न पाइथन लोडरद्वारा प्रयोग गरिने कुञ्जी फाइलहरू।

यो मोड्युलर डिजाइनले आक्रमणकारीहरूलाई विभिन्न पेलोडहरू स्वतन्त्र रूपमा स्टेज गर्न र आवश्यक पर्दा मात्र सक्रिय गर्न सक्षम बनाउँछ।

पोर्टेबिलिटी र स्टिल्थको लागि इम्बेडेड पाइथन रनटाइम

एक पटक अभिलेख निकालिएपछि, मालवेयरले python.org बाट सिधै प्राप्त गरिएको वैध इम्बेडेड पाइथन रनटाइम तैनाथ गर्छ। वैध इन्टरप्रेटर इम्बेड गर्नाले सम्झौता गरिएको प्रणालीमा पहिले नै अवस्थित हुन सक्ने कुनै पनि पाइथन स्थापनामा निर्भरता हटाउँछ।

आक्रमणकारीको दृष्टिकोणबाट, यो चरणले धेरै रणनीतिक फाइदाहरू प्रदान गर्दछ। मालवेयर बाह्य निर्भरताहरू बिना नै पेलोडहरू डिक्रिप्ट गर्न र इन्जेक्ट गर्न सक्षम एक आत्म-निहित कार्यान्वयन वातावरण बन्छ। यसले विभिन्न प्रणालीहरूमा पोर्टेबिलिटी सुधार गर्दछ, विश्वसनीयता बढाउँछ, र वैध सफ्टवेयर कम्पोनेन्टहरू प्रयोग गरेर सञ्चालन चोरीमा योगदान पुर्‍याउँछ।

धेरै RAT पेलोडहरूको इन-मेमोरी कार्यान्वयन

त्यसपछि इम्बेडेड पाइथन रनटाइम runn.py लोडर स्क्रिप्ट कार्यान्वयन गर्न प्रयोग गरिन्छ। लोडरले XWorm सँग सम्बन्धित शेलकोडलाई डिक्रिप्ट गर्छ र Early Bird APC इन्जेक्सन प्रयोग गरेर explorer.exe को चलिरहेको उदाहरणमा इन्जेक्ट गर्छ।

Xeno RAT तैनाथ गर्न, मालवेयरले AppInstallerPythonRedirector.exe भनिने वैध माइक्रोसफ्ट बाइनरी प्रयोग गर्दछ, जुन पाइथनलाई आह्वान गर्न र आवश्यक कम्पोनेन्टहरू कार्यान्वयन गर्न प्रयोग गरिन्छ। उही इन्जेक्सन प्रविधि पछि AsyncRAT तैनाथ गर्न पुन: प्रयोग गरिन्छ, जसले गर्दा सबै पेलोडहरू डिस्कमा परम्परागत कार्यान्वयन योग्य कलाकृतिहरू नछोडिकन मेमोरीमा पूर्ण रूपमा कार्यान्वयन हुन्छन् भन्ने कुरा सुनिश्चित हुन्छ।

कमाण्ड-एण्ड-कन्ट्रोल बिकनिङ र मोड्युलर वास्तुकला

आक्रमणको अन्तिम चरणमा TryCloudflare मा होस्ट गरिएको आक्रमणकारी-नियन्त्रित कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा न्यूनतम HTTP बीकन पठाउनु समावेश छ। यो बीकनले प्रणाली सफलतापूर्वक सम्झौता गरिएको छ र थप निर्देशनहरू प्राप्त गर्न तयार छ भनी पुष्टि गर्दछ।

अभियानको विशिष्ट लक्ष्यहरू अज्ञात रहे पनि, संक्रमण शृङ्खलाले अत्यधिक मोड्युलर वास्तुकला प्रदर्शन गर्दछ। एउटा ठूलो मालवेयर पेलोड तैनाथ गर्नुको सट्टा, आक्रमणकारीहरूले धेरै चरणहरूमा क्रमिक रूपमा कम्पोनेन्टहरू परिचय गराउँछन्। यो डिजाइनले सञ्चालन लचिलोपन र लचिलोपनमा सुधार गर्दछ।

पत्ता लगाउने दृष्टिकोणबाट, अभियानभरि एउटा उल्लेखनीय व्यवहारिक सूचक देखा पर्दछ: छोटो समय अन्तरालमा explorer.exe मा दोहोर्याइएको प्रक्रिया इंजेक्शन। यो ढाँचाले आक्रमण जीवनचक्रको विभिन्न चरणहरूमा शंकास्पद गतिविधिसँग सम्बन्धित प्रयास गर्ने रक्षकहरूको लागि बलियो संकेतको रूपमा काम गर्न सक्छ।