IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Nová malwarová kampaň doručuje Remcos RAT prostřednictvím vícestupňového útoku na Windows

Nová malwarová kampaň doručuje Remcos RAT prostřednictvím vícestupňového útoku na Windows

Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o nové kampani s názvem SHADOW#REACTOR, která využívá vyhýbavý vícestupňový útočný řetězec k doručení komerčně dostupného nástroje pro vzdálenou správu nazvaného Remcos RAT a k vytvoření trvalého, skrytého vzdáleného přístupu.

„Infekční řetězec následuje přísně orchestrovanou cestu provádění: obfuskovaný VBS spouštěč spuštěný prostřednictvím wscript.exe vyvolá PowerShell downloader, který získává fragmentované textové payloady ze vzdáleného hostitele,“ uvedli výzkumníci společnosti Securonix Akshay Gaikwad, Shikha Sangwan a Aaron Beardslee v technické zprávě.

„Tyto fragmenty jsou rekonstruovány do kódovaných loaderů, dekódovány v paměti pomocí .NET Reactor–chráněného sestavení a použity k načtení a aplikaci vzdálené konfigurace Remcos. Závěrečná fáze využívá MSBuild.exe jako living-off-the-land binární soubor (LOLBin) k dokončení provádění, poté je backdoor Remcos RAT plně nasazen a převezme kontrolu nad kompromitovaným systémem.“

Aktivita je hodnocena jako široká a oportunistická, primárně zaměřená na podniková prostředí a malé až střední firmy. Nástroje a postupy odpovídají typickým zprostředkovatelům počátečního přístupu, kteří získávají přístup do cílových prostředí a prodávají je dalším aktérům za účelem finančního zisku. Přesto neexistují důkazy, které by ji přisuzovaly známé skupině hrozeb.

Nejneobvyklejším aspektem kampaně je spoléhání se na zprostředkující stagers pouze v textové podobě, spolu s použitím PowerShellu pro rekonstrukci v paměti a .NET Reactor–chráněného reflektivního loaderu, k rozbalení následujících fází útoku s cílem zkomplikovat detekci a analytické úsilí.

Infekční sekvence začíná získáním a spuštěním obfuskovaného Visual Basic Scriptu („win64.vbs“), který je pravděpodobně spuštěn prostřednictvím interakce uživatele, jako je kliknutí na odkaz doručený prostřednictvím sociálně inženýrských lákadel. Skript, spuštěný pomocí „wscript.exe,“ funguje jako lehký spouštěč pro Base64-kódovaný PowerShell payload.

PowerShell skript následně využívá System.Net.WebClient ke komunikaci se stejným serverem použitým k načtení VBS souboru a uloží textový payload s názvem „qpwoe64.txt“ (nebo „qpwoe32.txt“ pro 32bitové systémy) do adresáře %TEMP% počítače.

Pokud textový soubor splňuje příslušná kritéria, pokračuje v konstrukci druhého sekundárního PowerShell skriptu („jdywa.ps1″) v adresáři %TEMP%, který vyvolá .NET Reactor Loader zodpovědný za vytvoření persistence, získání malwaru další fáze a začlenění různých kontrol proti ladění a anti-VM, aby zůstal pod radarem.

Loader nakonec spustí malware Remcos RAT na kompromitovaném hostiteli pomocí legitimního procesu Microsoft Windows, „MSBuild.exe.“ V průběhu útoku jsou také uloženy skripty pro opětovné spuštění „win64.vbs“ pomocí „wscript.exe.“

Zdroj: thehackernews.com