Snip3 Loader

Onderzoekers van Morphisec hebben een nieuwe bedreigende en zeer geavanceerde malwarebedreiging ontdekt die ze 'Snip3'-cryptor hebben genoemd. De dreiging wordt aangeboden in een Cryptor-as-a-Service-schema en wordt gebruikt in doorlopende aanvalscampagnes die talloze RAT-stammen (Remote Access Trojans) leveren als uiteindelijke payloads op de gecompromitteerde machines. De krachtigste kenmerken van de Snip3-lader zijn de detectie-vermijdings- en anti-analysemogelijkheden op basis van verschillende geavanceerde technieken, zoals het uitvoeren van PowerShell-code met de parameter 'remotesigned', het gebruik van Pastebin en top4top voor enscenering, het compileren van runPE-laders tijdens runtime en controleren op Windows Sandbox- en VMWare-virtualisatie.

De aanvalsketen bestaat uit meerdere fasen, waarbij de aanvalsvector wordt verspreid via phishing-e-mails. De lokaasberichten proberen de beoogde gebruiker te misleiden om een beschadigd visueel basisbestand te downloaden. In sommige gevallen gebruikten de bedreigingsactoren in plaats daarvan een groot installatiebestand om de levering van hun malwaretool te verbergen.

De eerste fase van Snip3 Attack

De eerste fase omvat de implementatie van een VB-script dat verantwoordelijk is voor het voorbereiden en initialiseren van de volgende fase van de malwareaanval: een PowerShell-script in de tweede fase. Infosec-onderzoekers zijn erin geslaagd om naast 11 subversies vier hoofdversies van het VB-script te identificeren. Wat de 4 versies onderscheidt, is de exacte methode die wordt gebruikt om de volgende PowerShell te laden, terwijl de subversies verschillende soorten versluiering gebruiken. Opgemerkt moet worden dat de bedreigingsacteur in dit vroege stadium een vrij unieke techniek heeft geïmplementeerd die in sommige versies is waargenomen: het script voert de PowerShell uit met een '-RemoteSigned'-parameter als een opdracht.

Tweede fase van de Snip3-operatie

De tweede fase draait vooral om ervoor te zorgen dat de malware niet wordt uitgevoerd in een virtuele omgeving. Als alles binnen de verwachtingen lijkt te zijn, zal het PowerShell-script doorgaan met het laden van RUnPE om de geselecteerde RAT-payload reflectief uit te voeren binnen een uitgehold Windows-proces.

Snipe3 is uitgerust met extra anti-VM-maatregelen in vergelijking met de gebruikelijke code die in het wild wordt gezien en Microsoft Sandbox niet kan detecteren. Om te controleren op mogelijke VM's zoals VMWare, VirtualBox of Windows Sandbox, extraheert het PowerShell-script de Manufacturer-string en vergelijkt deze met een lijst met hardgecodeerde strings. Om Sandboxie-omgevingen te detecteren, probeert de malware een handle naar een DLL met de naam SbieDll.dll om te zetten. Als een VM wordt gevonden, beëindigt de malware zijn activiteiten zonder de RAT-payload te leveren.

De inzet van een RAT-dreiging

In de laatste fase van Snip3's operaties levert de dreiging een geselecteerde RAT-malware aan het geïnfecteerde systeem. Het bezorgingsmechanisme verschilt van wat vaak wordt waargenomen bij andere bedreigende campagnes. Snip3 verdubbelt zijn heimelijkheid door een ingesloten en gecomprimeerde (GZIP) broncode te dragen die tijdens runtime is gecompileerd. Deze broncode lijkt een aangepaste versie te zijn van de runPE uit een GitHub-repository genaamd NYAN-x-CAT.

Tot nu toe zijn er verschillende RAT-bedreigingen waargenomen die door Snip3 als de laatste payload zijn verwijderd. Meestal zijn de gebruikte bedreigingen ASyncRAT of RevengeRAT . Er zijn echter gevallen geweest waarin Snip3-varianten AgentTesla of de NetWire RAT hebben opgeleverd.

Organisaties moeten rekening houden met de openbaar gemaakte IoC (Indicators-of-Compromise) en rekening houden met de mogelijkheden van Snip3 waarmee het gemakkelijk detectiegerichte oplossingen kan omzeilen.