Snip3 Loader

Morphisec的研究人員發現了一種新的威脅性和高度複雜的惡意軟件威脅，他們將其命名為" Snip3"密碼。該威脅以"加密即服務"方案提供，並用於正在進行的攻擊活動中，這些攻擊活動將大量RAT（遠程訪問特洛伊木馬）病毒作為受感染機器上的最終有效負載提供。 Snip3加載程序最強大的功能是基於幾種先進技術的避免檢測和抗分析功能，例如使用'remotesigned'參數執行PowerShell代碼，使用Pastebin和top4top進行登台，在運行時編譯runPE加載程序以及檢查Windows沙盒和VMWare虛擬化。

攻擊鏈由多個階段組成，初始攻擊媒介通過網絡釣魚電子郵件進行傳播。誘餌消息試圖誘騙目標用戶下載損壞的Visual Basic文件。在某些情況下，威脅參與者使用較大的安裝文件來隱藏其惡意軟件工具的交付。

Snip3攻擊的初始階段

第一階段涉及部署VB腳本，該腳本負責準備和初始化惡意軟件攻擊的下一階段-第二階段PowerShell腳本。 Infosec研究人員設法確定了VB腳本的四個主要版本以及11個子版本。這4個版本的不同之處在於用於加載下一個版本的PowerShell的確切方法，而子版本則採用了不同的混淆類型。應當指出，在此早期階段，威脅執行者已實施了一些版本中觀察到的相當獨特的技術-腳本使用命令" -RemoteSigned"執行PowerShell。

Snip3操作的第二階段

第二階段主要圍繞確保惡意軟件不在虛擬環境中執行。如果一切似乎都在預期範圍內，那麼PowerShell腳本將繼續加載RUnPE，以在空心Windows進程中反射地執行選定的RAT有效負載。

與在野外看到的常規代碼相比，Snipe3配備了額外的防VM措施，無法檢測到Microsoft Sandbox。要檢查任何潛在的VM（例如VMWare，VirtualBox或Windows Sandbox），PowerShell腳本會提取Manufacturer字符串並將其與硬編碼字符串列表進行比較。為了檢測沙盒環境，該惡意軟件嘗試解析名為SbieDll.dll的DLL的句柄。如果找到了VM，則惡意軟件會終止其操作，而不會傳遞RAT有效負載。

RAT威脅的部署

Snip3操作的最後階段看到威脅將選定的RAT惡意軟件發送給受感染的系統。投放機制不同於其他威脅性活動中常見的機制。 Snip3通過攜帶在運行時編譯的嵌入式和壓縮（GZIP）源代碼，使隱身性加倍。該源代碼似乎是來自名為NYAN-x-CAT的GitHub存儲庫中的runPE的修改版本。

到目前為止，已觀察到Snip3將幾種RAT威脅作為最終有效載荷丟棄。最常見的部署威脅是ASyncRAT或RevengeRAT 。但是，在某些情況下，Snip3變體已交付AgentTesla或NetWire RAT 。

組織應考慮公開的IoC（危害指標），並考慮Snip3的功能，以使其輕鬆繞過以檢測為中心的解決方案。