Oprogramowanie złośliwe VOID#GEIST
Badacze cyberbezpieczeństwa odkryli zaawansowaną, wieloetapową kampanię złośliwego oprogramowania, która wykorzystuje skrypty wsadowe do dostarczania zaszyfrowanych ładunków trojanów zdalnego dostępu (RAT). Kampania, zidentyfikowana jako VOID#GEIST, wykorzystuje kilka rodzin RAT, w tym XWorm, AsyncRAT i Xeno RAT.
Łańcuch ataku wykorzystuje zamaskowany skrypt wsadowy, który inicjuje sekwencję działań mających na celu uniknięcie wykrycia. Działania te obejmują uruchomienie dodatkowego skryptu wsadowego, przygotowanie legalnego, osadzonego środowiska wykonawczego Pythona oraz odszyfrowanie zaszyfrowanych ładunków kodu powłoki. Kod powłoki jest wykonywany bezpośrednio w pamięci po wstrzyknięciu do oddzielnych instancji procesu windows explorer.exe za pomocą techniki znanej jako wstrzyknięcie asynchronicznego wywołania procedury (APC) Early Bird.
Spis treści
Dostarczanie złośliwego oprogramowania za pomocą skryptów: nowoczesny model zagrożeń
Współcześni cyberprzestępcy coraz częściej odchodzą od tradycyjnego, samodzielnego, wykonywalnego złośliwego oprogramowania na rzecz warstwowych, opartych na skryptach struktur dostarczania, które naśladują legalne zachowania użytkowników. Zamiast wdrażać konwencjonalne pliki binarne Portable Executable (PE), atakujący organizują wieloskładnikowe potoki, które łączą kilka legalnych technologii i środowisk skryptowych.
Typowe komponenty używane w tych ramach obejmują:
- Skrypty wsadowe służące do organizacji sekwencji infekcji.
- Polecenia programu PowerShell ułatwiające ukryte przygotowywanie ładunku.
- Wbudowane legalne środowiska wykonawcze zapewniające przenośność między systemami.
- Surowy kod powłoki wykonywany bezpośrednio w pamięci w celu zachowania trwałości i kontroli.
To podejście, oparte na bezplikowym wykonywaniu kodu, znacząco ogranicza ryzyko wykrycia na dysku. Każdy etap wydaje się stosunkowo nieszkodliwy, gdy jest analizowany niezależnie i często przypomina rutynową czynność administracyjną, co pozwala atakującym działać w zainfekowanych środowiskach bez generowania natychmiastowych alertów bezpieczeństwa.
Początkowy dostęp poprzez phishing i infrastrukturę Cloudflare
Punkt wejścia ataku rozpoczyna się od złośliwego skryptu wsadowego dostarczanego za pośrednictwem wiadomości e-mail phishingowych. Skrypt jest pobierany z infrastruktury hostowanej w domenie TryCloudflare. Po uruchomieniu skrypt celowo unika prób eskalacji uprawnień i działa ściśle w ramach uprawnień aktualnie zalogowanego użytkownika.
Ta strategia pozwala złośliwemu oprogramowaniu na zajęcie początkowego punktu zaczepienia, jednocześnie wtapiając się w rutynowe operacje na poziomie użytkownika. Unikając działań wymagających podwyższonych uprawnień, atak zmniejsza prawdopodobieństwo wywołania ostrzeżeń bezpieczeństwa lub monitów administracyjnych.
Techniki rozpraszania uwagi i ukrytego wykonywania zadań
Po uruchomieniu, pierwszy etap złośliwego oprogramowania uruchamia fałszywy dokument, aby odwrócić uwagę ofiary. Przeglądarka Google Chrome otwiera się w trybie pełnoekranowym, aby wyświetlić dokument finansowy lub fakturę w formacie PDF. Podczas gdy użytkownik skupia się na dokumencie, szkodliwa aktywność trwa w tle.
Jednocześnie wykonywane jest polecenie programu PowerShell w celu ponownego uruchomienia oryginalnego skryptu wsadowego z ukrytymi parametrami wykonania. Użycie parametru -WindowStyle Hidden zapobiega wyświetlaniu widocznego okna konsoli, zapewniając, że szkodliwa aktywność pozostaje ukryta przed użytkownikiem.
Trwałość poprzez wykonywanie uruchomień na poziomie użytkownika
Aby utrzymać stabilność systemu po ponownym uruchomieniu, złośliwe oprogramowanie wdraża pomocniczy skrypt wsadowy w katalogu startowym użytkownika systemu Windows. Ta lokalizacja gwarantuje automatyczne uruchomienie skryptu za każdym razem, gdy ofiara zaloguje się do systemu.
Ten mechanizm trwałości jest celowo subtelny. Zamiast stosować bardziej inwazyjne techniki, takie jak modyfikowanie kluczy rejestru systemowego, tworzenie zaplanowanych zadań czy instalowanie usług, złośliwe oprogramowanie opiera się wyłącznie na standardowym zachowaniu użytkownika podczas uruchamiania. Ponieważ podejście to działa wyłącznie w kontekście uprawnień bieżącego użytkownika, unika ono wyświetlania komunikatów o eskalacji uprawnień i zmniejsza prawdopodobieństwo wykrycia przez narzędzia do monitorowania rejestru.
Struktura pobierania i odszyfrowywania danych
Na kolejnym etapie łańcucha infekcji złośliwe oprogramowanie kontaktuje się z domeną TryCloudflare, aby pobrać dodatkowe komponenty ładunku spakowane w archiwach ZIP. Archiwa te zawierają moduły wymagane do odszyfrowania i uruchomienia ostatecznych ładunków złośliwego oprogramowania.
Pobrane archiwum zazwyczaj zawiera następujące komponenty:
- runn.py – oparty na Pythonie moduł ładujący odpowiedzialny za odszyfrowywanie i wstrzykiwanie zaszyfrowanych modułów kodu powłoki do pamięci
- new.bin – zaszyfrowany ładunek shellcode powiązany z XWorm
- xn.bin – zaszyfrowany ładunek shellcode odpowiadający Xeno RAT
- pul.bin – zaszyfrowany ładunek shellcode odpowiadający AsyncRAT
- a.json, n.json i p.json – pliki kluczy używane przez program ładujący Pythona do dynamicznego odszyfrowywania ładunków kodu powłoki w czasie wykonywania
Taka modułowa konstrukcja umożliwia atakującym niezależne przygotowywanie różnych ładunków i aktywowanie ich tylko wtedy, gdy jest to konieczne.
Wbudowane środowisko wykonawcze Pythona zapewniające przenośność i dyskretność
Po rozpakowaniu archiwum złośliwe oprogramowanie wdraża legalne, osadzone środowisko wykonawcze Pythona, pobrane bezpośrednio z python.org. Osadzenie legalnego interpretera eliminuje konieczność instalacji Pythona, która mogła już istnieć w zainfekowanym systemie.
Z perspektywy atakującego, krok ten oferuje szereg strategicznych korzyści. Szkodliwe oprogramowanie staje się samodzielnym środowiskiem wykonawczym, zdolnym do deszyfrowania i wstrzykiwania ładunków bez konieczności korzystania z zewnętrznych zależności. Poprawia to przenośność między różnymi systemami, zwiększa niezawodność i przyczynia się do ukrycia operacyjnego poprzez wykorzystanie legalnych komponentów oprogramowania.
Wykonywanie wielu ładunków RAT w pamięci
Wbudowane środowisko wykonawcze Pythona jest następnie używane do uruchomienia skryptu programu ładującego runn.py. Program ładujący odszyfrowuje kod powłoki powiązany z robakiem XWorm i wstrzykuje go do działającej instancji explorer.exe za pomocą metody Early Bird APC injection.
Do wdrożenia Xeno RAT, złośliwe oprogramowanie wykorzystuje legalny plik binarny firmy Microsoft o nazwie AppInstallerPythonRedirector.exe, który służy do wywoływania Pythona i wykonywania wymaganych komponentów. Ta sama technika wstrzykiwania jest następnie ponownie wykorzystywana do wdrożenia AsyncRAT, zapewniając, że wszystkie ładunki są wykonywane w całości w pamięci, bez pozostawiania tradycyjnych artefaktów wykonywalnych na dysku.
Sygnalizacja świetlna typu Command-and-Control i architektura modułowa
Ostatni etap ataku polega na wysłaniu minimalnego sygnału HTTP do kontrolowanej przez atakującego infrastruktury Command-and-Control (C2) hostowanej w TryCloudflare. Sygnał ten potwierdza, że system został pomyślnie skompromitowany i jest gotowy do odbioru dalszych instrukcji.
Chociaż konkretne cele kampanii pozostają nieznane, łańcuch infekcji charakteryzuje się wysoce modułową architekturą. Zamiast wdrażać pojedynczy, duży pakiet złośliwego oprogramowania, atakujący wprowadzają komponenty stopniowo, na wielu etapach. Taka konstrukcja zwiększa elastyczność operacyjną i odporność.
Z perspektywy wykrywania, w trakcie całej kampanii pojawia się jeden istotny wskaźnik behawioralny: powtarzające się wstrzykiwanie procesów do explorer.exe w krótkich odstępach czasu. Ten wzorzec może stanowić silny sygnał dla obrońców próbujących korelować podejrzaną aktywność na różnych etapach cyklu życia ataku.
