Snip3 Loader

Forskare vid Morphisec har upptäckt ett nytt hotfullt och mycket sofistikerat hot mot skadlig programvara som de har kallat 'Snip3' -krypteraren. Hotet erbjuds i ett Cryptor-as-a-Service-system och används i pågående attackkampanjer som levererar många RAT (Remote Access Trojans) -stammar som slutliga nyttolaster på de komprometterade maskinerna. De mest kraftfulla funktionerna i Snip3-laddaren är dess detekterings-undvikande och anti-analysfunktioner baserade på flera avancerade tekniker, till exempel att köra PowerShell-kod med parametern 'remotesigned', med Pastebin och top4top för att iscensätta, kompilera runPE-laddare under körning och söker efter Windows Sandbox och VMWare virtualisering.

Attackkedjan består av flera steg där den första attackvektorn sprids via phishing-e-post. Lure-meddelandena försöker lura den riktade användaren att ladda ner en skadad visuell grundfil. I vissa fall använde hotaktörerna istället en stor installationsfil för att dölja leveransen av sitt skadliga verktyg.

Den inledande fasen av Snip3 Attack

Det första steget innefattar distribution av ett VB-skript som är ansvarigt för att förbereda och initiera nästa steg av skadlig programattack - ett andra stegs PowerShell-skript. Infosec-forskare har lyckats identifiera fyra huvudversioner av VB-skriptet tillsammans med elva underversioner. Vad som skiljer de fyra versionerna är den exakta metoden som används för att ladda nästa salvia PowerShell, medan underversionerna använder olika fördunkningstyper. Det bör noteras att hotaktören i detta tidiga skede har implementerat en ganska unik teknik som observerats i några av versionerna - skriptet kör PowerShell med en '-RemoteSigned' -parameter som ett kommando.

Andra etappen av Snip3-operationen

Det andra steget handlar främst om att se till att skadlig kod inte körs i en virtuell miljö. Om allt verkar ligga inom förväntningarna kommer PowerShell-skriptet att gå vidare för att ladda RUnPE för att exekvera den valda RAT-nyttolasten inom en ihålig Windows-process reflekterande.

Snipe3 är utrustad med extra anti-VM-åtgärder jämfört med den vanliga koden som ses i naturen kan inte upptäcka Microsoft Sandbox. För att söka efter potentiella virtuella datorer som VMWare, VirtualBox eller Windows Sandbox extraherar PowerShell-skriptet tillverkarens sträng och jämför den med en lista med hårdkodade strängar. För att upptäcka Sandboxie-miljöer försöker skadlig programvara att lösa ett handtag till en DLL som heter SbieDll.dll. Om en virtuell dator hittas avslutas skadlig programvara sin verksamhet utan att leverera RAT-nyttolasten.

Utplaceringen av en RAT-hot

Det sista steget i Snip3s verksamhet innebär att hotet levererar en utvald RAT-skadlig kod till det infekterade systemet. Leveransmekanismen skiljer sig från vad som ofta observeras i andra hotfulla kampanjer. Snip3 fördubblar sin smyg genom att bära en inbäddad och komprimerad (GZIP) källkod som sammanställs under körning. Den här källkoden verkar vara en modifierad version av runPE från ett GitHub-arkiv med namnet NYAN-x-CAT.

Hittills har flera RAT-hot observerats tappas som den slutliga nyttolasten av Snip3. Oftast är de utplacerade hoten ASyncRAT eller RevengeRAT . Det har dock förekommit fall när Snip3-varianter har levererat AgentTesla eller NetWire RAT .

Organisationer bör ta hänsyn till den avslöjade IoC (Indicators-of-Compromise) och ta hänsyn till funktionerna i Snip3 som gör det möjligt att enkelt kringgå detekteringscentrerade lösningar.