VOID#GEIST Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong multi-stage malware campaign na umaasa sa mga batch script upang maghatid ng mga encrypted remote access trojan (RAT) payload. Ang kampanya, na kinilala bilang VOID#GEIST, ay nagde-deploy ng ilang pamilya ng RAT, kabilang ang XWorm, AsyncRAT, at Xeno RAT.

Gumagamit ang attack chain ng isang obfuscated batch script na nagsisimula ng sunod-sunod na mga aksyon na idinisenyo upang maiwasan ang pagtuklas. Kabilang sa mga aksyong ito ang paglulunsad ng karagdagang batch script, pag-stage ng isang lehitimong naka-embed na Python runtime environment, at pag-decrypt ng mga naka-encrypt na shellcode payload. Ang shellcode ay direktang isinasagawa sa memorya pagkatapos mai-inject sa magkakahiwalay na instance ng Windows process explorer.exe gamit ang isang pamamaraan na kilala bilang Early Bird Asynchronous Procedure Call (APC) injection.

Paghahatid ng Malware na Pinapatakbo ng Script: Isang Modernong Modelo ng Banta

Ang mga modernong aktor ng banta ay lalong umaalis sa tradisyonal na standalone executable malware pabor sa layered, script-based delivery frameworks na ginagaya ang lehitimong pag-uugali ng user. Sa halip na mag-deploy ng mga conventional Portable Executable (PE) binaries, ang mga attacker ay bumubuo ng mga multi-component pipeline na pinagsasama ang ilang lehitimong teknolohiya at scripting environment.

Ang mga karaniwang bahaging ginagamit sa loob ng mga balangkas na ito ay kinabibilangan ng:

• Mga batch script na ginagamit upang ayusin ang pagkakasunod-sunod ng impeksyon.
• Mga utos ng PowerShell na nagpapadali sa patagong pag-iiskedyul ng payload.
• Naka-embed na lehitimong runtime na nagsisiguro ng kadalian sa pagdadala sa iba't ibang sistema.
• Ang hilaw na shellcode ay direktang isinasagawa sa memorya upang mapanatili ang persistence at kontrol.

Ang pamamaraang ito ng pagpapatupad na walang file ay lubos na nakakabawas sa mga pagkakataon para sa pagtuklas batay sa disk. Ang bawat indibidwal na yugto ay tila medyo hindi nakakapinsala kapag sinuri nang hiwalay at kadalasang kahawig ng mga nakagawiang aktibidad na administratibo, na nagpapahintulot sa mga aktor ng banta na gumana sa loob ng mga nakompromisong kapaligiran nang hindi naglalabas ng agarang mga alerto sa seguridad.

Paunang Pag-access sa pamamagitan ng Phishing at Cloudflare Infrastructure

Ang entry point ng pag-atake ay nagsisimula sa isang malisyosong batch script na ipinapadala sa pamamagitan ng mga phishing email. Ang script ay kinukuha mula sa imprastraktura na naka-host sa isang TryCloudflare domain. Kapag naisagawa na, sadyang iniiwasan ng script ang mga pagtatangkang magpataas ng pribilehiyo at sa halip ay mahigpit na gumagana sa loob ng mga hangganan ng pahintulot ng kasalukuyang naka-log in na user.

Ang estratehiyang ito ay nagbibigay-daan sa malware na maitatag ang panimulang saligan nito habang sumasama sa mga karaniwang operasyon sa antas ng gumagamit. Sa pamamagitan ng pag-iwas sa mga aksyon na nangangailangan ng matataas na pribilehiyo, binabawasan ng pag-atake ang posibilidad na magdulot ng mga babala sa seguridad o mga administratibong prompt.

Mga Teknik sa Visual Distraction at Stealth Execution

Kasunod ng pagpapatupad, ang unang yugto ng malware ay maglulunsad ng isang decoy document upang ilihis ang atensyon ng biktima. Binubuksan ang Google Chrome sa full-screen mode upang ipakita ang isang dokumentong pinansyal o invoice na ipinakita bilang isang PDF. Habang nakatuon ang user sa dokumento, nagpapatuloy ang malisyosong aktibidad sa background.

Kasabay nito, isang utos na PowerShell ang isinasagawa upang muling ilunsad ang orihinal na batch script na may mga nakatagong parameter ng pagpapatupad. Ang paggamit ng parameter na -WindowStyle Hidden ay pumipigil sa paglitaw ng isang nakikitang window ng console, na tinitiyak na ang malisyosong aktibidad ay nananatiling nakatago mula sa gumagamit.

Pagtitiyaga sa Pamamagitan ng Pagpapatupad ng Startup sa Antas ng Gumagamit

Para mapanatili ang persistence pagkatapos mag-reboot ang system, nagde-deploy ang malware ng auxiliary batch script sa Windows user Startup directory. Tinitiyak ng lokasyong ito na awtomatikong isasagawa ang script tuwing magla-log in ang biktima sa system.

Ang mekanismong ito ng pagpupursige ay sadyang banayad. Sa halip na gumamit ng mas mapanghimasok na mga pamamaraan tulad ng pagbabago ng mga registry key ng system, paglikha ng mga naka-iskedyul na gawain, o pag-install ng mga serbisyo, ang malware ay umaasa lamang sa karaniwang pag-uugali sa pagsisimula sa antas ng gumagamit. Dahil ang pamamaraan ay ganap na gumagana sa loob ng konteksto ng mga pribilehiyo ng kasalukuyang gumagamit, iniiwasan nito ang pag-trigger ng mga prompt ng pagtaas ng pribilehiyo at binabawasan ang posibilidad na matukoy ng mga tool sa pagsubaybay sa registry.

Balangkas ng Pagkuha at Pag-decryption ng Payload

Sa susunod na yugto ng kadena ng impeksyon, ang malware ay nakikipag-ugnayan sa isang TryCloudflare domain upang kumuha ng mga karagdagang bahagi ng payload na naka-package sa mga ZIP archive. Ang mga archive na ito ay naglalaman ng mga module na kinakailangan upang i-decrypt at isagawa ang mga panghuling payload ng malware.

Karaniwang naglalaman ang mga sumusunod na bahagi ng na-download na archive:

• runn.py – isang loader na nakabatay sa Python na responsable para sa pag-decrypt at pag-inject ng mga naka-encrypt na shellcode module sa memorya
• new.bin – naka-encrypt na shellcode payload na nauugnay sa XWorm
• xn.bin – naka-encrypt na shellcode payload na katumbas ng Xeno RAT
• pul.bin – naka-encrypt na shellcode payload na katumbas ng AsyncRAT
• a.json, n.json, at p.json – mga pangunahing file na ginagamit ng Python loader upang pabago-bagong i-decrypt ang mga payload ng shellcode habang tumatakbo

Ang modular na disenyong ito ay nagbibigay-daan sa mga attacker na mag-stage ng iba't ibang payload nang nakapag-iisa at i-activate lamang ang mga ito kung kinakailangan.

Naka-embed na Python Runtime para sa Portability at Stealth

Kapag na-extract na ang archive, magde-deploy ang malware ng lehitimong naka-embed na Python runtime na direktang nakuha mula sa python.org. Inaalis ng pag-embed ng lehitimong interpreter ang pag-asa sa anumang installation ng Python na maaaring umiiral na sa nakompromisong system.

Mula sa pananaw ng isang umaatake, ang hakbang na ito ay nagbibigay ng ilang estratehikong bentahe. Ang malware ay nagiging isang self-contained execution environment na may kakayahang mag-decrypt at mag-inject ng mga payload nang hindi nangangailangan ng mga panlabas na dependency. Pinapabuti nito ang portability sa iba't ibang sistema, pinahuhusay ang reliability, at nakakatulong sa operational stealth sa pamamagitan ng paggamit ng mga lehitimong bahagi ng software.

Pagpapatupad sa In-Memory ng Maramihang RAT Payloads

Ang naka-embed na Python runtime ay ginagamit upang isagawa ang runn.py loader script. Ide-decrypt ng loader ang shellcode na nauugnay sa XWorm at i-inject ito sa isang tumatakbong instance ng explorer.exe gamit ang Early Bird APC injection.

Para i-deploy ang Xeno RAT, ginagamit ng malware ang isang lehitimong binary ng Microsoft na tinatawag na AppInstallerPythonRedirector.exe, na ginagamit para i-invoke ang Python at i-execute ang mga kinakailangang component. Ang parehong injection technique ay muling ginagamit para i-deploy ang AsyncRAT, na tinitiyak na ang lahat ng payload ay ganap na nai-execute sa memory nang hindi nag-iiwan ng mga tradisyonal na executable artifact sa disk.

Command-and-Control Beaconing at Modular na Arkitektura

Ang huling yugto ng pag-atake ay kinabibilangan ng pagpapadala ng isang minimal na HTTP beacon sa Command-and-Control (C2) infrastructure na kontrolado ng attacker na naka-host sa TryCloudflare. Kinukumpirma ng beacon na ito na ang sistema ay matagumpay na nakompromiso at handa nang makatanggap ng mga karagdagang tagubilin.

Bagama't hindi pa rin alam ang mga partikular na target ng kampanya, ang kadena ng impeksyon ay nagpapakita ng isang lubos na modular na arkitektura. Sa halip na mag-deploy ng isang malaking payload ng malware, unti-unting nagpapakilala ang mga umaatake ng mga bahagi sa maraming yugto. Pinahuhusay ng disenyong ito ang kakayahang umangkop at katatagan sa operasyon.

Mula sa perspektibo ng pagtuklas, isang kapansin-pansing indikasyon ng pag-uugali ang lumilitaw sa buong kampanya: ang paulit-ulit na pag-iniksyon ng proseso sa explorer.exe sa loob ng maikling panahon. Ang pattern na ito ay maaaring magsilbing isang malakas na senyales para sa mga tagapagtanggol na nagtatangkang iugnay ang kahina-hinalang aktibidad sa iba't ibang yugto ng siklo ng buhay ng pag-atake.