VOID#GEIST Злонамерни софтвер
Истраживачи сајбер безбедности открили су софистицирану вишестепену кампању злонамерног софтвера која се ослања на пакетне скрипте за испоруку шифрованих корисних података тројанаца за удаљени приступ (RAT). Кампања, идентификована као VOID#GEIST, користи неколико RAT породица, укључујући XWorm, AsyncRAT и Xeno RAT.
Ланац напада користи замаскирани пакетни скрипт који покреће низ акција осмишљених да избегну откривање. Ове акције укључују покретање додатног пакетног скрипта, постављање легитимног уграђеног Пајтон окружења за извршавање и дешифровање шифрованих корисних података шелкода. Шелкод се извршава директно у меморији након што се убризга у одвојене инстанце Windows процеса explorer.exe коришћењем технике познате као убризгавање Early Bird Asynchronous Procedure Call (APC).
Преглед садржаја
Испорука злонамерног софтвера вођена скриптама: Модерни модел претњи
Модерни актери претњи све више напуштају традиционални самостални извршни малвер у корист слојевитих, скриптама заснованих оквира за испоруку који имитирају легитимно понашање корисника. Уместо примене конвенционалних преносивих извршних (PE) бинарних датотека, нападачи оркестрирају вишекомпонентне цевоводе који комбинују неколико легитимних технологија и окружења за скриптовање.
Типичне компоненте које се користе у овим оквирима укључују:
- Пакетни скриптови који се користе за оркестрирање секвенце инфекције.
- PowerShell команде које олакшавају прикривено постављање корисног оптерећења.
- Уграђена легитимна времена извршавања која осигуравају преносивост између система.
- Сирови шелкод се извршава директно у меморији ради одржавања перзистентности и контроле.
Овај приступ извршавања без датотека значајно смањује могућности за детекцију на диску. Свака појединачна фаза делује релативно безопасно када се испита независно и често подсећа на рутинску административну активност, омогућавајући актерима претње да делују у угроженим окружењима без покретања тренутних безбедносних упозорења.
Почетни приступ путем фишинга и инфраструктуре Клаудфлејр
Улазна тачка напада почиње злонамерним пакетним скриптом који се испоручује путем фишинг имејлова. Скрипта се преузима са инфраструктуре хостоване на TryCloudflare домену. Једном извршена, скрипта намерно избегава покушаје ескалације привилегија и уместо тога ради искључиво унутар граница дозвола тренутно пријављеног корисника.
Ова стратегија омогућава злонамерном софтверу да успостави своје почетно упориште док се уклапа у рутинске операције на нивоу корисника. Избегавањем радњи које захтевају повећана права, напад смањује вероватноћу покретања безбедносних упозорења или администраторских захтева.
Визуелна дистракција и технике прикривеног извршења
Након извршавања, прва фаза злонамерног софтвера покреће документ мамац како би одвукла пажњу жртве. Google Chrome се отвара у режиму целог екрана како би приказао финансијски документ или фактуру представљену као PDF. Док се корисник фокусира на документ, злонамерна активност се наставља у позадини.
Истовремено, извршава се PowerShell команда за поновно покретање оригиналне пакетне скрипте са скривеним параметрима извршавања. Употреба параметра -WindowStyle Hidden спречава појављивање видљивог прозора конзоле, осигуравајући да злонамерна активност остане скривена од корисника.
Истрајност кроз покретање на нивоу корисника
Да би одржао постојаност након поновног покретања система, злонамерни софтвер инсталира помоћни пакетни скрипт у директоријум корисника Windows-а за покретање. Ова локација осигурава да се скрипта аутоматски извршава сваки пут када се жртва пријави на систем.
Овај механизам перзистентности је намерно суптилан. Уместо коришћења инвазивнијих техника као што су модификовање кључева системског регистра, креирање заказаних задатака или инсталирање услуга, злонамерни софтвер се ослања искључиво на стандардно понашање при покретању на нивоу корисника. Пошто приступ функционише у потпуности у контексту привилегија тренутног корисника, избегава покретање упита за ескалацију привилегија и смањује вероватноћу откривања од стране алата за праћење регистра.
Оквир за преузимање и дешифровање корисног терета
Током следеће фазе ланца инфекције, злонамерни софтвер контактира домен TryCloudflare како би преузео додатне компоненте корисног садржаја упаковане у ZIP архиве. Ове архиве садрже модуле потребне за дешифровање и извршавање коначних корисних садржаја злонамерног софтвера.
Преузета архива обично садржи следеће компоненте:
- runn.py – програм за учитавање заснован на Пајтону, одговоран за дешифровање и убризгавање шифрованих модула шелкодa у меморију
- new.bin – шифровани корисни садржај шелкода повезан са XWorm-ом
- xn.bin – шифровани шелкод који одговара Xeno RAT-у
- pul.bin – шифровани шелкод који одговара AsyncRAT-у
- a.json, n.json и p.json – кључне датотеке које користи Пајтон учитавач за динамичко дешифровање корисних садржаја шелкода током извршавања
Овај модуларни дизајн омогућава нападачима да независно постављају различите корисне терете и активирају их само када је то потребно.
Уграђено Пајтон окружење за преносивост и прикривеност
Када се архива распакује, злонамерни софтвер покреће легитимно уграђено Пајтон окружење (Python runtime) добијено директно са python.org. Уграђивање легитимног интерпретера елиминише ослањање на било коју Пајтон инсталацију која можда већ постоји на угроженом систему.
Из перспективе нападача, овај корак пружа неколико стратешких предности. Злонамерни софтвер постаје самостално окружење за извршавање способно за дешифровање и убризгавање корисних оптерећења без потребе за спољним зависностима. Ово побољшава преносивост између различитих система, повећава поузданост и доприноси оперативној прикривености коришћењем легитимних софтверских компоненти.
Извршавање више RAT корисних података у меморији
Уграђени Пајтон рунтим се затим користи за извршавање скрипте за учитавање runn.py. Програм за учитавање дешифрује шелкод повезан са XWorm-ом и убризгава га у покренуту инстанцу explorer.exe користећи Early Bird APC убризгавање.
Да би имплементирао Xeno RAT, злонамерни софтвер користи легитимни бинарни фајл компаније Microsoft под називом AppInstallerPythonRedirector.exe, који се користи за позивање Пајтона и извршавање потребних компоненти. Иста техника убризгавања се потом поново користи за имплементацију AsyncRAT-а, осигуравајући да се сви корисни текови извршавају у потпуности у меморији без остављања традиционалних извршних артефаката на диску.
Командно-контролно сигнализационо одавање и модуларна архитектура
Завршна фаза напада укључује слање минималног HTTP сигнала (beacon) на инфраструктуру командовања и контроле (C2) коју контролише нападач, а која се налази на TryCloudflare-у. Овај сигнал потврђује да је систем успешно компромитован и да је спреман за примање даљих инструкција.
Иако су специфични циљеви кампање непознати, ланац инфекције демонстрира високо модуларну архитектуру. Уместо да примене један велики малициозни софтвер, нападачи постепено уводе компоненте у више фаза. Овај дизајн побољшава оперативну флексибилност и отпорност.
Са становишта детекције, током целе кампање се појављује један значајан индикатор понашања: поновљено убризгавање процеса у explorer.exe у кратким временским интервалима. Овај образац може послужити као снажан сигнал за браниоце који покушавају да повежу сумњиве активности у различитим фазама животног циклуса напада.
