Rabattoffert för flera licenser
Hotdatabas Skadlig programvara VOID#GEIST-skadlig programvara

VOID#GEIST-skadlig programvara

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Cybersäkerhetsforskare har avslöjat en sofistikerad flerstegskampanj av skadlig kod som förlitar sig på batchskript för att leverera krypterade nyttolaster av fjärråtkomsttrojaner (RAT). Kampanjen, identifierad som VOID#GEIST, använder flera RAT-familjer, inklusive XWorm, AsyncRAT och Xeno RAT.

Attackkedjan utnyttjar ett obfuskerat batchskript som initierar en sekvens av åtgärder utformade för att undvika upptäckt. Dessa åtgärder inkluderar att starta ett ytterligare batchskript, starta en legitim inbäddad Python-körtidsmiljö och dekryptera krypterade shellkodsnyttolaster. Shellkoden exekveras direkt i minnet efter att ha injicerats i separata instanser av Windows-processen explorer.exe med hjälp av en teknik som kallas Early Bird Asynchronous Procedure Call (APC)-injektion.

Skriptdriven leverans av skadlig kod: En modern hotmodell

Moderna hotaktörer överger i allt högre grad traditionell fristående körbar skadlig kod till förmån för lagerbaserade, skriptbaserade leveransramverk som efterliknar legitimt användarbeteende. Istället för att distribuera konventionella portabla körbara (PE) binärfiler, orkestrerar angripare flerkomponentspipelines som kombinerar flera legitima tekniker och skriptmiljöer.

Typiska komponenter som används inom dessa ramverk inkluderar:

  • Batch-skript som används för att orkestrera infektionssekvensen.
  • PowerShell-kommandon som underlättar smygande nyttolaststaging.
  • Inbyggda legitima körtider som säkerställer portabilitet mellan system.
  • Rå skalkod exekveras direkt i minnet för att bibehålla persistens och kontroll.

Denna fillösa exekveringsmetod minskar avsevärt möjligheterna till diskbaserad detektering. Varje enskilt steg verkar relativt ofarligt när det granskas separat och liknar ofta rutinmässig administrativ aktivitet, vilket gör det möjligt för hotaktörer att verka i komprometterade miljöer utan att utlösa omedelbara säkerhetsvarningar.

Initial åtkomst via nätfiske och Cloudflare-infrastruktur

Attackens startpunkt börjar med ett skadligt batchskript som levereras via nätfiskemejl. Skriptet hämtas från infrastruktur som finns på en TryCloudflare-domän. När skriptet väl körs undviker det medvetet försök till privilegier och arbetar istället strikt inom behörighetsgränserna för den inloggade användaren.

Denna strategi gör det möjligt för skadlig kod att etablera sitt första fotfäste samtidigt som den integreras i rutinmässiga operationer på användarnivå. Genom att undvika åtgärder som kräver utökade rättigheter minskar attacken sannolikheten för att utlösa säkerhetsvarningar eller administrativa uppmaningar.

Visuell distraktion och smygande utförandetekniker

Efter exekveringen startar det första steget av den skadliga programvaran ett lockbeteendedokument för att distrahera offret. Google Chrome öppnas i helskärmsläge för att visa ett finansiellt dokument eller en faktura som en PDF. Medan användaren fokuserar på dokumentet fortsätter skadlig aktivitet i bakgrunden.

Samtidigt körs ett PowerShell-kommando för att starta om det ursprungliga batchskriptet med dolda körningsparametrar. Användningen av parametern -WindowStyle Hidden förhindrar att ett synligt konsolfönster visas, vilket säkerställer att den skadliga aktiviteten förblir dold för användaren.

Persistens genom användarnivåstartkörning

För att bibehålla systemets beständighet efter omstart distribuerar skadlig programvara ett extra batchskript i Windows-användarens startkatalog. Denna plats säkerställer att skriptet körs automatiskt när offret loggar in på systemet.

Denna persistensmekanism är avsiktligt subtil. Istället för att använda mer påträngande tekniker som att ändra systemregisternycklar, skapa schemalagda uppgifter eller installera tjänster, förlitar sig skadlig programvara uteslutande på standardstartbeteende på användarnivå. Eftersom metoden fungerar helt inom ramen för den aktuella användarens behörigheter, undviker den att utlösa uppmaningar om behörighetseskalering och minskar sannolikheten för upptäckt av registerövervakningsverktyg.

Ramverk för hämtning och dekryptering av nyttolast

Under nästa steg i infektionskedjan kontaktar skadlig programvara en TryCloudflare-domän för att hämta ytterligare nyttolasten som är paketerade i ZIP-arkiv. Dessa arkiv innehåller de moduler som krävs för att dekryptera och köra de slutliga nyttolasten från skadlig programvara.

Det nedladdade arkivet innehåller vanligtvis följande komponenter:

  • runn.py – en Python-baserad laddare som ansvarar för att dekryptera och injicera krypterade skalkodmoduler i minnet
  • new.bin – krypterad skalkodsnyttolast associerad med XWorm
  • xn.bin – krypterad skalkodsnyttolast motsvarande Xeno RAT
  • pul.bin – krypterad skalkodsnyttolast motsvarande AsyncRAT
  • a.json, n.json och p.json – nyckelfiler som används av Python-laddaren för att dynamiskt dekryptera shellcode-nyttolaster under körning

Denna modulära design gör det möjligt för angriparna att iscensätta olika nyttolaster oberoende av varandra och endast aktivera dem vid behov.

Inbäddad Python Runtime för portabilitet och smygfunktionalitet

När arkivet har extraherats distribuerar skadlig kod en legitim inbäddad Python-körning som hämtats direkt från python.org. Att bädda in en legitim tolk eliminerar behovet av Python-installationer som redan kan finnas på det komprometterade systemet.

Ur en angripares perspektiv ger detta steg flera strategiska fördelar. Skadlig programvara blir en självständig exekveringsmiljö som kan dekryptera och injicera nyttolaster utan att kräva externa beroenden. Detta förbättrar portabiliteten mellan olika system, ökar tillförlitligheten och bidrar till operativ stealth genom att använda legitima programvarukomponenter.

Minneskörning av flera RAT-nyttolaster

Den inbäddade Python-körtiden används sedan för att köra loader-skriptet runn.py. Laddaren dekrypterar skalkoden som är associerad med XWorm och injicerar den i en körande instans av explorer.exe med hjälp av Early Bird APC-injektion.

För att driftsätta Xeno RAT använder den skadliga programvaran en legitim Microsoft-binärfil som heter AppInstallerPythonRedirector.exe, som används för att anropa Python och köra de nödvändiga komponenterna. Samma injektionsteknik återanvänds sedan för att driftsätta AsyncRAT, vilket säkerställer att alla nyttolaster körs helt i minnet utan att traditionella körbara artefakter lämnas kvar på disken.

Kommando- och kontrollbeaconing och modulär arkitektur

Det sista steget i attacken innebär att en minimal HTTP-beacon skickas till den angriparkontrollerade Command-and-Control (C2)-infrastrukturen på TryCloudflare. Denna beacon bekräftar att systemet har komprometterats och är redo att ta emot ytterligare instruktioner.

Även om kampanjens specifika mål fortfarande är okända, uppvisar infektionskedjan en mycket modulär arkitektur. Istället för att distribuera en enda stor nyttolast av skadlig kod, introducerar angriparna komponenter stegvis över flera steg. Denna design förbättrar den operativa flexibiliteten och motståndskraften.

Ur ett detekteringsperspektiv framträder en anmärkningsvärd beteendeindikator under hela kampanjen: upprepad processinjicering i explorer.exe med korta tidsintervall. Detta mönster kan fungera som en stark signal för försvarare som försöker korrelera misstänkt aktivitet över olika stadier av attackens livscykel.

Trendigt

Mest sedda

Läser in...