BlackSoul Malware

Er is een nieuw gedoe met RAT-malware (Remote Access Trojan) gedetecteerd die wordt ingezet via naar men aanneemt een spear-phishing-campagne gericht op overheidsinstanties. De malware werd BlackSoul genoemd door infosec-onderzoekers die de operatie ontdekten. Vanwege overeenkomsten in de code van de malwaretool en de algemene TTP's (technieken, tactieken en procedures) van de campagne, hebben de experts vastgesteld dat de hackergroep ReconHellcat waarschijnlijk verantwoordelijk is voor de bedreiging.

De aanval begint met een nep-lokaas-e-mail met een gecompromitteerd CAB-archief. Het archief en het bestand erin hebben dezelfde naam - '1-10-22-hb44_final.' De implicatie is dat de bijlage een document is van het National Institute of Standards and Technology (NIST), dat van belang kan zijn voor de beoogde individuen.

Het uitvoerbare bestand in het archief bevat de lader van de eerste fase. De malware is uitgerust met verduisteringstechnieken die consistent zijn met eerdere bedreigingstools die aan de ReconHellcat-groep zijn toegeschreven. Bij het tot stand brengen van een verbinding met de Command-and-Control (C2, C&C) infrastructuur, zal de lader de uiteindelijke payload ophalen en tonen in de vorm van twee nieuwe bestanden. Het probeert ook zijn activiteit te verbergen door de doelgebruiker een legitiem Microsoft Word-venster te presenteren met het legitieme document van de NIST-website. De twee bestanden die door de loader op de gecompromitteerde machine worden neergezet, zijn een uitvoerbaar bestand met de naam 'blacksoul' en een DLL-bestand met de naam 'blacksoulLib'.

De BlackSoul-payload zelf is een relatief eenvoudige RAT met een beperkt aantal functies en uitvoerbare commando's. Het herkent slechts vier opdrachten die zijn ontvangen van de C2-servers, maar ze zijn meer dan voldoende. BlackSoul kan willekeurige commando's uitvoeren, extra bestanden ophalen, ze op het geïnfecteerde systeem neerzetten en er bestanden uit exfiltreren. Om detectie te voorkomen, is de RAT uitgerust met verschillende verduisteringstechnieken. Het construeert voornamelijk dynamisch strings op de stapel en gebruikt vervolgens een aantal verschillende mechanismen, zoals een vast XOR-cijfer en een Caesar-cijfer, met behulp van variabele verschuivingswaarden om ze te verduidelijken.

Wat betreft het DLL-bibliotheekbestand, wanneer het wordt aangeroepen door BlackSoul, probeert het gegevens te verzamelen van de Chrome-, Firefox- en Opera-webbrowsers. Als dergelijke gegevens niet kunnen worden verkregen, beëindigt het programma zijn werking voortijdig. Het helpt ook bij de eerste verbinding met de C2-servers door de C2-URL en de Cloudflare DNS-over-HTTPS (DoH) URL te decoderen. Bovendien genereert het de nodige login-informatie en stuurt het de verzamelde gegevens terug naar de BlackSoul Malware in een JSON-formaat.

ReconHellcat lijkt hun patroon te volgen van het lanceren van aanvalscampagnes tegen overheidsorganisaties. Bij eerdere operaties zijn de hackers gedocumenteerd die probeerden te infiltreren in diplomatieke organisaties en overheidsinstanties voor defensie.