VOID#GEIST మాల్వేర్

ఎన్‌క్రిప్టెడ్ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) పేలోడ్‌లను అందించడానికి బ్యాచ్ స్క్రిప్ట్‌లపై ఆధారపడే అధునాతన బహుళ-దశల మాల్వేర్ ప్రచారాన్ని సైబర్‌సెక్యూరిటీ పరిశోధకులు కనుగొన్నారు. VOID#GEISTగా గుర్తించబడిన ఈ ప్రచారం, XWorm, AsyncRAT మరియు Xeno RATతో సహా అనేక RAT కుటుంబాలను అమలు చేస్తుంది.

దాడి గొలుసు అస్పష్టమైన బ్యాచ్ స్క్రిప్ట్‌ను ప్రభావితం చేస్తుంది, ఇది గుర్తింపును తప్పించుకోవడానికి రూపొందించిన చర్యల క్రమాన్ని ప్రారంభిస్తుంది. ఈ చర్యలలో అదనపు బ్యాచ్ స్క్రిప్ట్‌ను ప్రారంభించడం, చట్టబద్ధమైన ఎంబెడెడ్ పైథాన్ రన్‌టైమ్ ఎన్విరాన్‌మెంట్‌ను స్టేజ్ చేయడం మరియు ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ పేలోడ్‌లను డీక్రిప్ట్ చేయడం ఉన్నాయి. ఎర్లీ బర్డ్ ఎసిన్క్రోనస్ ప్రొసీజర్ కాల్ (APC) ఇంజెక్షన్ అని పిలువబడే టెక్నిక్‌ని ఉపయోగించి Windows process explorer.exe యొక్క ప్రత్యేక సందర్భాలలోకి ఇంజెక్ట్ చేయబడిన తర్వాత షెల్‌కోడ్ నేరుగా మెమరీలో అమలు చేయబడుతుంది.

స్క్రిప్ట్ ఆధారిత మాల్వేర్ డెలివరీ: ఒక ఆధునిక ముప్పు నమూనా

ఆధునిక బెదిరింపు నటులు సాంప్రదాయ స్వతంత్ర ఎక్జిక్యూటబుల్ మాల్వేర్‌ను వదిలివేసి, చట్టబద్ధమైన వినియోగదారు ప్రవర్తనను అనుకరించే లేయర్డ్, స్క్రిప్ట్-ఆధారిత డెలివరీ ఫ్రేమ్‌వర్క్‌లకు అనుకూలంగా ఉన్నారు. సాంప్రదాయ పోర్టబుల్ ఎగ్జిక్యూటబుల్ (PE) బైనరీలను అమలు చేయడానికి బదులుగా, దాడి చేసేవారు అనేక చట్టబద్ధమైన సాంకేతికతలు మరియు స్క్రిప్టింగ్ వాతావరణాలను కలిపే బహుళ-భాగాల పైప్‌లైన్‌లను ఆర్కెస్ట్రేట్ చేస్తారు.

ఈ చట్రాలలో ఉపయోగించే సాధారణ భాగాలు:

• ఇన్ఫెక్షన్ క్రమాన్ని ఆర్కెస్ట్రేట్ చేయడానికి ఉపయోగించే బ్యాచ్ స్క్రిప్ట్‌లు.
• స్టెల్తీ పేలోడ్ స్టేజింగ్‌ను సులభతరం చేసే పవర్‌షెల్ ఆదేశాలు.
• వ్యవస్థల అంతటా పోర్టబిలిటీని నిర్ధారించే ఎంబెడెడ్ చట్టబద్ధమైన రన్‌టైమ్‌లు.
• నిలకడ మరియు నియంత్రణను నిర్వహించడానికి రా షెల్ కోడ్ నేరుగా మెమరీలో అమలు చేయబడుతుంది.

ఈ ఫైల్‌లెస్ ఎగ్జిక్యూషన్ విధానం డిస్క్-ఆధారిత గుర్తింపు అవకాశాలను గణనీయంగా తగ్గిస్తుంది. ప్రతి దశను స్వతంత్రంగా పరిశీలించినప్పుడు సాపేక్షంగా ప్రమాదకరం కానిదిగా కనిపిస్తుంది మరియు తరచుగా సాధారణ పరిపాలనా కార్యకలాపాలను పోలి ఉంటుంది, ముప్పు కలిగించే వ్యక్తులు తక్షణ భద్రతా హెచ్చరికలను పెంచకుండా రాజీపడిన వాతావరణంలో పనిచేయడానికి వీలు కల్పిస్తుంది.

ఫిషింగ్ మరియు క్లౌడ్‌ఫ్లేర్ ఇన్‌ఫ్రాస్ట్రక్చర్ ద్వారా ప్రారంభ యాక్సెస్

ఈ దాడికి ప్రారంభ స్థానం ఫిషింగ్ ఇమెయిల్‌ల ద్వారా అందించబడే హానికరమైన బ్యాచ్ స్క్రిప్ట్‌తో ప్రారంభమవుతుంది. ఈ స్క్రిప్ట్ ట్రైక్లౌడ్‌ఫ్లేర్ డొమైన్‌లో హోస్ట్ చేయబడిన మౌలిక సదుపాయాల నుండి తిరిగి పొందబడుతుంది. ఒకసారి అమలు చేయబడిన తర్వాత, స్క్రిప్ట్ ఉద్దేశపూర్వకంగా ప్రత్యేక హక్కులను పెంచే ప్రయత్నాలను నివారిస్తుంది మరియు బదులుగా ప్రస్తుతం లాగిన్ అయిన వినియోగదారు యొక్క అనుమతి సరిహద్దుల్లో ఖచ్చితంగా పనిచేస్తుంది.

ఈ వ్యూహం మాల్వేర్ సాధారణ వినియోగదారు-స్థాయి కార్యకలాపాలలో కలిసిపోతూనే దాని ప్రారంభ స్థానాన్ని ఏర్పరచుకోవడానికి అనుమతిస్తుంది. అధిక అధికారాలు అవసరమయ్యే చర్యలను నివారించడం ద్వారా, దాడి భద్రతా హెచ్చరికలు లేదా పరిపాలనా ప్రాంప్ట్‌లను ప్రేరేపించే సంభావ్యతను తగ్గిస్తుంది.

దృశ్య పరధ్యానం మరియు స్టెల్త్ ఎగ్జిక్యూషన్ టెక్నిక్స్

అమలు తర్వాత, మాల్వేర్ యొక్క మొదటి దశ బాధితుడి దృష్టి మరల్చడానికి ఒక డెకాయ్ డాక్యుమెంట్‌ను ప్రారంభిస్తుంది. PDFగా సమర్పించబడిన ఆర్థిక పత్రం లేదా ఇన్‌వాయిస్‌ను ప్రదర్శించడానికి Google Chrome పూర్తి-స్క్రీన్ మోడ్‌లో తెరవబడుతుంది. వినియోగదారు పత్రంపై దృష్టి సారించినప్పుడు, నేపథ్యంలో హానికరమైన కార్యాచరణ కొనసాగుతుంది.

అదే సమయంలో, దాచిన అమలు పారామితులతో అసలు బ్యాచ్ స్క్రిప్ట్‌ను తిరిగి ప్రారంభించడానికి పవర్‌షెల్ కమాండ్ అమలు చేయబడుతుంది. -WindowStyle Hidden పరామితిని ఉపయోగించడం వలన కనిపించే కన్సోల్ విండో కనిపించకుండా నిరోధించబడుతుంది, హానికరమైన కార్యాచరణ వినియోగదారు నుండి దాగి ఉందని నిర్ధారిస్తుంది.

యూజర్-లెవల్ స్టార్టప్ ఎగ్జిక్యూషన్ ద్వారా పట్టుదల

సిస్టమ్ రీబూట్ అయిన తర్వాత నిలకడను కొనసాగించడానికి, మాల్వేర్ విండోస్ యూజర్ స్టార్టప్ డైరెక్టరీలో ఒక సహాయక బ్యాచ్ స్క్రిప్ట్‌ను అమలు చేస్తుంది. బాధితుడు సిస్టమ్‌లోకి లాగిన్ అయినప్పుడల్లా స్క్రిప్ట్ స్వయంచాలకంగా అమలు చేయబడుతుందని ఈ స్థానం నిర్ధారిస్తుంది.

ఈ స్థిరత్వ విధానం ఉద్దేశపూర్వకంగా సూక్ష్మమైనది. సిస్టమ్ రిజిస్ట్రీ కీలను సవరించడం, షెడ్యూల్ చేయబడిన పనులను సృష్టించడం లేదా సేవలను ఇన్‌స్టాల్ చేయడం వంటి మరింత అనుచిత పద్ధతులను ఉపయోగించే బదులు, మాల్వేర్ ప్రత్యేకంగా ప్రామాణిక వినియోగదారు-స్థాయి ప్రారంభ ప్రవర్తనపై ఆధారపడుతుంది. ఈ విధానం పూర్తిగా ప్రస్తుత వినియోగదారు యొక్క ప్రత్యేక హక్కుల సందర్భంలోనే పనిచేస్తుంది కాబట్టి, ఇది ప్రత్యేక హక్కుల పెరుగుదల ప్రాంప్ట్‌లను ట్రిగ్గర్ చేయడాన్ని నివారిస్తుంది మరియు రిజిస్ట్రీ పర్యవేక్షణ సాధనాల ద్వారా గుర్తించే సంభావ్యతను తగ్గిస్తుంది.

పేలోడ్ రిట్రీవల్ మరియు డిక్రిప్షన్ ఫ్రేమ్‌వర్క్

ఇన్ఫెక్షన్ గొలుసు యొక్క తదుపరి దశలో, జిప్ ఆర్కైవ్‌లలో ప్యాక్ చేయబడిన అదనపు పేలోడ్ భాగాలను తిరిగి పొందడానికి మాల్వేర్ ట్రైక్లౌడ్‌ఫ్లేర్ డొమైన్‌ను సంప్రదిస్తుంది. ఈ ఆర్కైవ్‌లు తుది మాల్వేర్ పేలోడ్‌లను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి అవసరమైన మాడ్యూల్‌లను కలిగి ఉంటాయి.

డౌన్‌లోడ్ చేయబడిన ఆర్కైవ్ సాధారణంగా ఈ క్రింది భాగాలను కలిగి ఉంటుంది:

• runn.py – ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ మాడ్యూల్‌లను మెమరీలోకి డీక్రిప్ట్ చేయడానికి మరియు ఇంజెక్ట్ చేయడానికి బాధ్యత వహించే పైథాన్ ఆధారిత లోడర్
• new.bin – XWorm తో అనుబంధించబడిన ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ పేలోడ్
• xn.bin – Xeno RAT కి సంబంధించిన ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ పేలోడ్
• pul.bin – AsyncRAT కి సంబంధించిన ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ పేలోడ్
• a.json, n.json, మరియు p.json – రన్‌టైమ్ సమయంలో షెల్‌కోడ్ పేలోడ్‌లను డైనమిక్‌గా డీక్రిప్ట్ చేయడానికి పైథాన్ లోడర్ ఉపయోగించే కీ ఫైల్‌లు

ఈ మాడ్యులర్ డిజైన్ దాడి చేసేవారు వేర్వేరు పేలోడ్‌లను స్వతంత్రంగా ప్రదర్శించడానికి మరియు అవసరమైనప్పుడు మాత్రమే వాటిని సక్రియం చేయడానికి వీలు కల్పిస్తుంది.

పోర్టబిలిటీ మరియు స్టీల్త్ కోసం ఎంబెడెడ్ పైథాన్ రన్‌టైమ్

ఆర్కైవ్‌ను సంగ్రహించిన తర్వాత, మాల్వేర్ python.org నుండి నేరుగా పొందిన చట్టబద్ధమైన ఎంబెడెడ్ పైథాన్ రన్‌టైమ్‌ను అమలు చేస్తుంది. చట్టబద్ధమైన ఇంటర్‌ప్రెటర్‌ను పొందుపరచడం వలన రాజీపడిన సిస్టమ్‌లో ఇప్పటికే ఉన్న ఏదైనా పైథాన్ ఇన్‌స్టాలేషన్‌పై ఆధారపడటం తొలగిపోతుంది.

దాడి చేసేవారి దృక్కోణం నుండి, ఈ దశ అనేక వ్యూహాత్మక ప్రయోజనాలను అందిస్తుంది. మాల్వేర్ బాహ్య ఆధారపడటం అవసరం లేకుండా పేలోడ్‌లను డీక్రిప్ట్ చేయగల మరియు ఇంజెక్ట్ చేయగల స్వయం-నియంత్రణ అమలు వాతావరణంగా మారుతుంది. ఇది వివిధ వ్యవస్థలలో పోర్టబిలిటీని మెరుగుపరుస్తుంది, విశ్వసనీయతను పెంచుతుంది మరియు చట్టబద్ధమైన సాఫ్ట్‌వేర్ భాగాలను ఉపయోగించడం ద్వారా ఆపరేషనల్ స్టెల్త్‌కు దోహదం చేస్తుంది.

బహుళ RAT పేలోడ్‌ల ఇన్-మెమరీ ఎగ్జిక్యూషన్

ఎంబెడెడ్ పైథాన్ రన్‌టైమ్ తరువాత runn.py లోడర్ స్క్రిప్ట్‌ను అమలు చేయడానికి ఉపయోగించబడుతుంది. లోడర్ XWorm తో అనుబంధించబడిన షెల్‌కోడ్‌ను డీక్రిప్ట్ చేస్తుంది మరియు దానిని ఎర్లీ బర్డ్ APC ఇంజెక్షన్ ఉపయోగించి explorer.exe యొక్క రన్నింగ్ ఇన్‌స్టాన్స్‌లోకి ఇంజెక్ట్ చేస్తుంది.

Xeno RAT ని అమలు చేయడానికి, మాల్వేర్ AppInstallerPythonRedirector.exe అనే చట్టబద్ధమైన Microsoft బైనరీని ఉపయోగిస్తుంది, ఇది పైథాన్‌ను ఇన్వోక్ చేయడానికి మరియు అవసరమైన భాగాలను అమలు చేయడానికి ఉపయోగించబడుతుంది. అదే ఇంజెక్షన్ టెక్నిక్ తరువాత AsyncRAT ని అమలు చేయడానికి తిరిగి ఉపయోగించబడుతుంది, సాంప్రదాయ ఎక్జిక్యూటబుల్ ఆర్టిఫ్యాక్ట్‌లను డిస్క్‌లో వదిలివేయకుండా అన్ని పేలోడ్‌లు పూర్తిగా మెమరీలో అమలు చేయబడతాయని నిర్ధారిస్తుంది.

కమాండ్-అండ్-కంట్రోల్ బీకనింగ్ మరియు మాడ్యులర్ ఆర్కిటెక్చర్

దాడి చివరి దశలో ట్రైక్లౌడ్‌ఫ్లేర్‌లో హోస్ట్ చేయబడిన దాడి చేసేవారి-నియంత్రిత కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాలకు కనీస HTTP బీకన్‌ను పంపడం జరుగుతుంది. ఈ బీకన్ సిస్టమ్ విజయవంతంగా రాజీపడిందని మరియు తదుపరి సూచనలను స్వీకరించడానికి సిద్ధంగా ఉందని నిర్ధారిస్తుంది.

ఈ ప్రచారం యొక్క నిర్దిష్ట లక్ష్యాలు ఇంకా తెలియకపోయినా, ఇన్ఫెక్షన్ గొలుసు అత్యంత మాడ్యులర్ నిర్మాణాన్ని ప్రదర్శిస్తుంది. ఒకే పెద్ద మాల్వేర్ పేలోడ్‌ను అమలు చేయడానికి బదులుగా, దాడి చేసేవారు బహుళ దశలలో భాగాలను క్రమంగా ప్రవేశపెడతారు. ఈ డిజైన్ కార్యాచరణ వశ్యత మరియు స్థితిస్థాపకతను మెరుగుపరుస్తుంది.

గుర్తింపు దృక్కోణం నుండి, ప్రచారం అంతటా ఒక ముఖ్యమైన ప్రవర్తనా సూచిక ఉద్భవిస్తుంది: తక్కువ సమయ వ్యవధిలో explorer.exe లోకి పదేపదే ప్రక్రియ ఇంజెక్షన్. దాడి జీవితచక్రంలోని వివిధ దశలలో అనుమానాస్పద కార్యకలాపాలను పరస్పరం అనుసంధానించడానికి ప్రయత్నించే రక్షకులకు ఈ నమూనా బలమైన సంకేతంగా ఉపయోగపడుతుంది.