Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér VOID#GEIST

Škodlivý softvér VOID#GEIST

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú viacstupňovú kampaň škodlivého softvéru, ktorá sa spolieha na dávkové skripty na doručovanie šifrovaných údajov o trójskych koňoch pre vzdialený prístup (RAT). Kampaň s označením VOID#GEIST využíva niekoľko rodín RAT vrátane XWorm, AsyncRAT a Xeno RAT.

Útočný reťazec využíva obfuskovaný dávkový skript, ktorý iniciuje sekvenciu akcií určených na vyhýbanie sa detekcii. Medzi tieto akcie patrí spustenie ďalšieho dávkového skriptu, vytvorenie legitímneho vloženého behového prostredia Pythonu a dešifrovanie šifrovaných údajov shellcode. Shellcode sa vykoná priamo v pamäti po vstreknutí do samostatných inštancií procesu explorer.exe systému Windows pomocou techniky známej ako vstrekovanie asynchronného volania procedúr (APC).

Doručovanie malvéru riadené skriptmi: Moderný model hrozieb

Moderní útočníci čoraz častejšie opúšťajú tradičný samostatný spustiteľný malvér v prospech viacvrstvových, na skriptoch založených rámcov na doručovanie, ktoré napodobňujú legitímne správanie používateľov. Namiesto nasadenia konvenčných prenosných spustiteľných binárnych súborov (PE) útočníci zostavujú viackomponentné kanály, ktoré kombinujú niekoľko legitímnych technológií a skriptovacích prostredí.

Medzi typické komponenty používané v týchto rámcoch patria:

  • Dávkové skripty používané na riadenie infekčnej sekvencie.
  • Príkazy PowerShellu, ktoré uľahčujú nenápadné pripravovanie dát.
  • Vstavané legitímne behové prostredia, ktoré zabezpečujú prenosnosť medzi systémami.
  • Surový shellcode vykonávaný priamo v pamäti pre zachovanie perzistencie a kontroly.

Tento prístup k bezsúborovému vykonávaniu výrazne znižuje možnosti detekcie na disku. Každá jednotlivá fáza sa pri samostatnom skúmaní javí ako relatívne neškodná a často sa podobá na bežnú administratívnu činnosť, čo umožňuje aktérom hrozby pôsobiť v kompromitovaných prostrediach bez okamžitého spustenia bezpečnostných upozornení.

Počiatočný prístup prostredníctvom phishingu a infraštruktúry Cloudflare

Vstupný bod útoku začína škodlivým dávkovým skriptom doručeným prostredníctvom phishingových e-mailov. Skript sa načíta z infraštruktúry hostovanej na doméne TryCloudflare. Po spustení sa skript zámerne vyhýba pokusom o eskaláciu privilégií a namiesto toho funguje striktne v rámci hraníc povolení aktuálne prihláseného používateľa.

Táto stratégia umožňuje malvéru etablovať sa a zároveň sa začleniť do bežných operácií na úrovni používateľa. Vyhýbaním sa akciám, ktoré vyžadujú zvýšené oprávnenia, útok znižuje pravdepodobnosť spustenia bezpečnostných upozornení alebo výziev pre správcov.

Vizuálne rozptýlenie a techniky nenápadného vykonávania

Po spustení prvá fáza malvéru spustí návnadový dokument, ktorý má obeť odviesť. Prehliadač Google Chrome sa otvorí v režime celej obrazovky, aby sa zobrazil finančný dokument alebo faktúra vo formáte PDF. Zatiaľ čo sa používateľ sústredí na dokument, škodlivá aktivita pokračuje na pozadí.

Súčasne sa vykoná príkaz PowerShell na opätovné spustenie pôvodného dávkového skriptu so skrytými parametrami vykonávania. Použitie parametra -WindowStyle Hidden zabraňuje zobrazeniu viditeľného okna konzoly, čím sa zabezpečí, že škodlivá aktivita zostane pred používateľom skrytá.

Perzistencia prostredníctvom spustenia na úrovni používateľa

Aby sa zachovala perzistencia po reštarte systému, malvér nasadí pomocný dávkový skript do spúšťacieho adresára používateľa systému Windows. Toto umiestnenie zabezpečí, že skript sa automaticky spustí vždy, keď sa obeť prihlási do systému.

Tento mechanizmus perzistencie je zámerne nenápadný. Namiesto použitia rušivejších techník, ako je úprava kľúčov systémového registra, vytváranie naplánovaných úloh alebo inštalácia služieb, sa malvér spolieha výlučne na štandardné správanie pri spustení na úrovni používateľa. Keďže tento prístup funguje výlučne v kontexte oprávnení aktuálneho používateľa, vyhýba sa spúšťaniu výziev na eskaláciu oprávnení a znižuje pravdepodobnosť detekcie nástrojmi na monitorovanie registra.

Rámec pre načítanie a dešifrovanie užitočného zaťaženia

Počas ďalšej fázy infekčného reťazca malvér kontaktuje doménu TryCloudflare, aby získal ďalšie komponenty dát zabalené v ZIP archívoch. Tieto archívy obsahujú moduly potrebné na dešifrovanie a spustenie finálnych dát malvéru.

Stiahnutý archív zvyčajne obsahuje nasledujúce komponenty:

  • runn.py – zavádzač založený na Pythone zodpovedný za dešifrovanie a vkladanie šifrovaných modulov shellcode do pamäte
  • new.bin – šifrovaný shellcode payload spojený s XWorm
  • xn.bin – šifrovaný shellcode dátový obsah zodpovedajúci Xeno RAT
  • pul.bin – zašifrovaný shellcode dátový dátový súbor zodpovedajúci AsyncRAT
  • a.json, n.json a p.json – kľúčové súbory používané zavádzačom Pythonu na dynamické dešifrovanie údajov shellcode počas behu

Táto modulárna konštrukcia umožňuje útočníkom nezávisle nasadiť rôzne užitočné zaťaženia a aktivovať ich iba v prípade potreby.

Vstavané behové prostredie Pythonu pre prenosnosť a nenápadnosť

Po rozbalení archívu malvér nasadí legitímny vložený runtime Pythonu získaný priamo z python.org. Vloženie legitímneho interpreta eliminuje závislosť od akejkoľvek inštalácie Pythonu, ktorá už môže existovať v napadnutom systéme.

Z pohľadu útočníka tento krok poskytuje niekoľko strategických výhod. Malvér sa stáva samostatným prostredím na vykonávanie úloh schopným dešifrovať a vkladať užitočné zaťaženie bez potreby externých závislostí. To zlepšuje prenosnosť medzi rôznymi systémami, zvyšuje spoľahlivosť a prispieva k operačnej utajenosti používaním legitímnych softvérových komponentov.

Vykonávanie viacerých údajov RAT v pamäti

Vstavané runtime prostredie Pythonu sa potom použije na spustenie zavádzacieho skriptu runn.py. Zavádzací program dešifruje shellcode spojený s XWorm a vstrekne ho do spustenej inštancie explorer.exe pomocou APC injekcie Early Bird.

Na nasadenie Xeno RAT využíva malvér legitímny binárny súbor od spoločnosti Microsoft s názvom AppInstallerPythonRedirector.exe, ktorý sa používa na spustenie Pythonu a spustenie požadovaných komponentov. Rovnaká technika vkladania sa následne opätovne použije na nasadenie AsyncRAT, čím sa zabezpečí, že všetky užitočné zaťaženia sa vykonajú výlučne v pamäti bez toho, aby na disku zostali tradičné spustiteľné artefakty.

Systém velenia a riadenia a modulárna architektúra

Záverečná fáza útoku zahŕňa odoslanie minimálneho HTTP signálu do infraštruktúry Command-and-Control (C2) kontrolovanej útočníkom, ktorá je hostovaná na TryCloudflare. Tento signál potvrdzuje, že systém bol úspešne napadnutý a je pripravený prijímať ďalšie pokyny.

Hoci konkrétne ciele kampane zostávajú neznáme, infekčný reťazec demonštruje vysoko modulárnu architektúru. Namiesto nasadenia jedného veľkého množstva malvéru útočníci zavádzajú komponenty postupne vo viacerých fázach. Tento dizajn zlepšuje operačnú flexibilitu a odolnosť.

Z hľadiska detekcie sa počas celej kampane objavuje jeden pozoruhodný behaviorálny indikátor: opakované vkladanie procesov do explorer.exe v krátkych časových intervaloch. Tento vzorec môže slúžiť ako silný signál pre obrancov, ktorí sa snažia korelovať podozrivú aktivitu v rôznych fázach životného cyklu útoku.

Trendy

Najviac videné

Načítava...