VOID#GEIST Malware

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të sofistikuar shumëfazore të malware-it që mbështetet në skripte batch për të ofruar ngarkesa të enkriptuara të trojanëve me akses në distancë (RAT). Fushata, e identifikuar si VOID#GEIST, përdor disa familje RAT, duke përfshirë XWorm, AsyncRAT dhe Xeno RAT.

Zinxhiri i sulmit shfrytëzon një skript të turbullt batch që fillon një sekuencë veprimesh të dizajnuara për të shmangur zbulimin. Këto veprime përfshijnë nisjen e një skripti shtesë batch, vendosjen në skenë të një mjedisi të ligjshëm të integruar të Python dhe dekriptimin e ngarkesave të kodit shell të enkriptuar. Kodi shell ekzekutohet direkt në memorie pasi injektohet në instanca të veçanta të procesit Windows explorer.exe duke përdorur një teknikë të njohur si injektimi i Thirrjes së Procedurës Asinkrone të Hershme (APC).

Shpërndarja e Malware-it të Drejtuar nga Skriptet: Një Model Modern Kërcënimi

Aktorët modernë të kërcënimit po braktisin gjithnjë e më shumë malware-in tradicional të ekzekutueshëm të pavarur në favor të kornizave të shpërndarjes me shtresa, të bazuara në skripte, të cilat imitojnë sjelljen legjitime të përdoruesit. Në vend që të vendosin binare konvencionale të Portable Executable (PE), sulmuesit orkestrojnë kanale shumëkomponentëshe që kombinojnë disa teknologji dhe mjedise skriptimi legjitime.

Komponentët tipikë të përdorur brenda këtyre kornizave përfshijnë:

• Skriptet e grupeve të përdorura për të orkestruar sekuencën e infeksionit.
• Komandat PowerShell që lehtësojnë konfigurimin e fshehtë të ngarkesës.
• Kohëzgjatje të ligjshme të integruara që sigurojnë lëvizshmëri në të gjitha sistemet.
• Shellcode i papërpunuar i ekzekutuar direkt në memorie për të ruajtur qëndrueshmërinë dhe kontrollin.

Kjo qasje e ekzekutimit pa skedarë zvogëlon ndjeshëm mundësitë për zbulimin e bazuar në disk. Çdo fazë individuale duket relativisht e padëmshme kur shqyrtohet në mënyrë të pavarur dhe shpesh i ngjan një aktiviteti rutinë administrativ, duke u lejuar aktorëve kërcënues të veprojnë brenda mjediseve të kompromentuara pa ngritur alarme të menjëhershme sigurie.

Qasja fillestare përmes Phishing dhe infrastrukturës Cloudflare

Pika hyrëse e sulmit fillon me një skript batch keqdashës të dërguar përmes emaileve phishing. Skripti merret nga infrastruktura e strehuar në një domen TryCloudflare. Pasi ekzekutohet, skripti shmang qëllimisht përpjekjet e përshkallëzimit të privilegjeve dhe në vend të kësaj vepron në mënyrë strikte brenda kufijve të lejeve të përdoruesit të kyçur aktualisht.

Kjo strategji i lejon programit keqdashës të krijojë pikëmbështetjen e tij fillestare ndërsa përzihet me operacionet rutinë të nivelit të përdoruesit. Duke shmangur veprimet që kërkojnë privilegje të larta, sulmi zvogëlon mundësinë e shkaktimit të paralajmërimeve të sigurisë ose kërkesave administrative.

Teknikat e Shpërqendrimit Vizual dhe Ekzekutimit të Fshehur

Pas ekzekutimit, faza e parë e malware-it lëshon një dokument mashtrues për të shpërqendruar viktimën. Google Chrome hapet në modalitetin e ekranit të plotë për të shfaqur një dokument financiar ose faturë të paraqitur si PDF. Ndërsa përdoruesi përqendrohet në dokument, aktiviteti keqdashës vazhdon në sfond.

Njëkohësisht, ekzekutohet një komandë PowerShell për të rilançuar skriptin origjinal të serisë me parametra të fshehur të ekzekutimit. Përdorimi i parametrit -WindowStyle Hidden parandalon shfaqjen e një dritareje të dukshme të konsolës, duke siguruar që aktiviteti keqdashës të mbetet i fshehur nga përdoruesi.

Qëndrueshmëria përmes ekzekutimit të nisjes në nivel përdoruesi

Për të ruajtur qëndrueshmërinë pas rinisjes së sistemit, programi keqdashës vendos një skript ndihmës batch në direktorinë Startup të përdoruesit të Windows. Ky vendndodhje siguron që skripti të ekzekutohet automatikisht sa herë që viktima hyn në sistem.

Ky mekanizëm i këmbënguljes është qëllimisht delikat. Në vend që të përdorë teknika më ndërhyrëse, siç janë modifikimi i çelësave të regjistrit të sistemit, krijimi i detyrave të planifikuara ose instalimi i shërbimeve, programi keqdashës mbështetet ekskluzivisht në sjelljen standarde të nisjes në nivel përdoruesi. Meqenëse kjo qasje vepron tërësisht brenda kontekstit të privilegjeve të përdoruesit aktual, ajo shmang shkaktimin e kërkesave për përshkallëzim të privilegjeve dhe zvogëlon mundësinë e zbulimit nga mjetet e monitorimit të regjistrit.

Korniza e Rikthimit dhe Dekriptimit të Ngarkesës së Payload

Gjatë fazës tjetër të zinxhirit të infeksionit, programi keqdashës kontakton një domen TryCloudflare për të rikuperuar komponentë shtesë të ngarkesës së dobishme të paketuar në arkivat ZIP. Këto arkiva përmbajnë modulet e nevojshme për të deshifruar dhe ekzekutuar ngarkesat përfundimtare të programeve keqdashëse.

Arkivi i shkarkuar zakonisht përmban përbërësit e mëposhtëm:

• runn.py – një ngarkues i bazuar në Python përgjegjës për deshifrimin dhe injektimin e moduleve të kodit shell të enkriptuar në memorie.
• new.bin – ngarkesë shellcode e enkriptuar e lidhur me XWorm
• xn.bin – ngarkesë shellcode e enkriptuar që korrespondon me Xeno RAT
• pul.bin – ngarkesë shellcode e enkriptuar që korrespondon me AsyncRAT
• a.json, n.json dhe p.json – skedarë kyç të përdorur nga ngarkuesi i Python për të deshifruar ngarkesat e shellcode në mënyrë dinamike gjatë kohës së ekzekutimit.

Ky dizajn modular u mundëson sulmuesve të inskenojnë ngarkesa të ndryshme në mënyrë të pavarur dhe t'i aktivizojnë ato vetëm kur është e nevojshme.

Runtime i integruar i Python për transportueshmëri dhe fshehtësi

Pasi arkivi të nxirret, programi keqdashës vendos një runtime të Python të integruar legjitim të marrë direkt nga python.org. Integrimi i një interpretuesi legjitim eliminon varësinë nga çdo instalim Python që mund të ekzistojë tashmë në sistemin e kompromentuar.

Nga perspektiva e një sulmuesi, ky hap ofron disa avantazhe strategjike. Softueri keqdashës bëhet një mjedis ekzekutimi i pavarur i aftë të deshifrojë dhe injektojë ngarkesa pa kërkuar varësi të jashtme. Kjo përmirëson transportueshmërinë nëpër sisteme të ndryshme, rrit besueshmërinë dhe kontribuon në fshehtësinë operacionale duke përdorur komponentë legjitimë të softuerit.

Ekzekutimi në memorie i ngarkesave të shumëfishta RAT

Runtime-i i integruar i Python përdoret më pas për të ekzekutuar skriptin e ngarkuesit runn.py. Ngarkuesi dekripton shellcode-in e lidhur me XWorm dhe e injekton atë në një instancë ekzekutuese të explorer.exe duke përdorur injeksionin Early Bird APC.

Për të vendosur Xeno RAT, malware përdor një skedar binar legjitim të Microsoft të quajtur AppInstallerPythonRedirector.exe, i cili përdoret për të thirrur Python dhe për të ekzekutuar komponentët e kërkuar. E njëjta teknikë injektimi ripërdoret më pas për të vendosur AsyncRAT, duke siguruar që të gjitha ngarkesat të ekzekutohen tërësisht në memorie pa lënë objekte tradicionale të ekzekutueshme në disk.

Sinjalizimi i Komandës dhe Kontrollit dhe Arkitektura Modulare

Faza e fundit e sulmit përfshin dërgimin e një sinjali minimal HTTP në infrastrukturën Command-and-Control (C2) të kontrolluar nga sulmuesi, të vendosur në TryCloudflare. Ky sinjal konfirmon që sistemi është kompromentuar me sukses dhe është gati të marrë udhëzime të mëtejshme.

Edhe pse objektivat specifike të fushatës mbeten të panjohura, zinxhiri i infeksionit demonstron një arkitekturë shumë modulare. Në vend që të vendosin një ngarkesë të vetme të madhe malware, sulmuesit prezantojnë komponentë në mënyrë graduale nëpër faza të shumëfishta. Ky dizajn përmirëson fleksibilitetin dhe qëndrueshmërinë operacionale.

Nga perspektiva e zbulimit, një tregues i dukshëm sjelljeje shfaqet gjatë gjithë fushatës: injektimi i përsëritur i procesit në explorer.exe brenda intervaleve të shkurtra kohore. Ky model mund të shërbejë si një sinjal i fortë për mbrojtësit që përpiqen të lidhin aktivitetin e dyshimtë në faza të ndryshme të ciklit jetësor të sulmit.