Snip3 Loader

Naukowcy z firmy Morphisec odkryli nowe, bardzo wyrafinowane zagrożenie złośliwym oprogramowaniem, które nazwali kryptorem „Snip3". Zagrożenie jest oferowane w schemacie Cryptor-as-a-Service i jest wykorzystywane w trwających kampaniach ataków, które dostarczają liczne szczepy RAT (trojany zdalnego dostępu) jako ostateczne ładunki na zaatakowanych maszynach. Najpotężniejszymi cechami modułu ładującego Snip3 są jego możliwości wykrywania-unikania i antyanalizy oparte na kilku zaawansowanych technikach, takich jak wykonywanie kodu PowerShell z parametrem `` zdalnie sterowanym '', używanie Pastebin i top4top do przemieszczania, kompilowanie programów ładujących runPE w czasie wykonywania oraz sprawdzanie wirtualizacji Windows Sandbox i VMWare.

Łańcuch ataków składa się z wielu etapów, a początkowy wektor ataku jest rozpowszechniany za pośrednictwem wiadomości phishingowych. Komunikaty wabiące próbują nakłonić docelowego użytkownika do pobrania uszkodzonego podstawowego pliku wizualnego. W niektórych przypadkach cyberprzestępcy zamiast tego użyli dużego pliku instalacyjnego, aby ukryć dostarczenie swojego złośliwego oprogramowania.

Początkowy etap ataku Snip3

Pierwszy etap obejmuje wdrożenie skryptu VB, który jest odpowiedzialny za przygotowanie i zainicjowanie kolejnego etapu ataku złośliwego oprogramowania - drugiego etapu skryptu PowerShell. Badaczom Infosec udało się zidentyfikować cztery główne wersje skryptu VB wraz z 11 wersjami podrzędnymi. Tym, co odróżnia te 4 wersje, jest dokładna metoda używana do ładowania następnej wersji PowerShell, podczas gdy wersje podrzędne wykorzystują różne typy zaciemniania. Należy zauważyć, że na tym wczesnym etapie aktor zagrożenia zaimplementował dość unikalną technikę obserwowaną w niektórych wersjach - skrypt wykonuje PowerShell z parametrem „-RemoteSigned" jako poleceniem.

Drugi etap operacji Snip3

Drugi etap polega głównie na upewnieniu się, że złośliwe oprogramowanie nie jest uruchamiane w środowisku wirtualnym. Jeśli wszystko wydaje się być zgodne z oczekiwaniami, skrypt PowerShell przejdzie następnie do załadowania RUnPE w celu odzwierciedlenia wykonania wybranego ładunku RAT w wydrążonym procesie systemu Windows.

Snipe3 jest wyposażony w dodatkowe środki ochrony przed maszynami wirtualnymi, w porównaniu ze zwykłym kodem widzianym na wolności, który nie jest w stanie wykryć Microsoft Sandbox. Aby sprawdzić potencjalne maszyny wirtualne, takie jak VMWare, VirtualBox lub Windows Sandbox, skrypt PowerShell wyodrębnia ciąg producenta i porównuje go z listą zakodowanych ciągów. Aby wykryć środowiska Sandboxie, złośliwe oprogramowanie próbuje rozwiązać dojście do biblioteki DLL o nazwie SbieDll.dll. Jeśli zostanie znaleziona maszyna wirtualna, szkodliwe oprogramowanie kończy swoje operacje bez dostarczania ładunku RAT.

Wdrożenie zagrożenia RAT

Na ostatnim etapie działalności Snip3 zagrożenie dostarcza wybrane szkodliwe oprogramowanie RAT do zainfekowanego systemu. Mechanizm dostarczania różni się od tego, co jest powszechnie obserwowane w innych groźnych kampaniach. Snip3 podwaja swoją niewidzialność, przenosząc osadzony i skompresowany (GZIP) kod źródłowy, który jest kompilowany w czasie wykonywania. Ten kod źródłowy wydaje się być zmodyfikowaną wersją runPE z repozytorium GitHub o nazwie NYAN-x-CAT.

Do tej pory zaobserwowano, że kilka zagrożeń RAT zostało usuniętych jako ostatni ładunek przez Snip3. Najczęściej wdrażanymi zagrożeniami są ASyncRAT lub RevengeRAT . Jednak zdarzały się przypadki, gdy warianty Snip3 dostarczyły AgentTesla lub NetWire RAT .

Organizacje powinny wziąć pod uwagę ujawnione IoC (Indicators-of-Compromise) i wziąć pod uwagę możliwości Snip3, które pozwalają mu łatwo ominąć rozwiązania ukierunkowane na detekcję.