Wykryto nowego trojana zdalnego dostępu (RAT), który rozprzestrzenia się za pośrednictwem kampanii phishingowej i ukrywa się przed mechanizmami wykrywania przy użyciu techniki bezplikowej obecności.
Badacze z zespołu Prevailion Adversarial Counterintelligence Team (P.A.C.T) nazwali to złośliwe oprogramowanie DarkWatchman. Program definiuje własną strukturę C&C za pomocą algorytmu stabilnego generowania domen (DGA), ukrywając się w rejestrze, dzięki czemu również po cichu wykonuje wszystkie swoje operacje z pamięcią masową.
Według Shermana Smitha, badacza P.A.C.T:
„Trojan wykorzystuje najnowsze rozwiązania w zakresie bezplikowej obecności i aktywności w systemie, a także dynamiczne możliwości środowiska wykonawczego, takie jak samoaktualizacja i rekompilacja. Pokazuje kolejny krok w rozwoju technik obecności bezplikowej, ponieważ wszystkie operacje tymczasowego i stałego przechowywania są wykonywane za pośrednictwem rejestru systemowego, bez uciekania się do zapisywania na dysku, co pozwala uniknąć wykrycia przez większość narzędzi bezpieczeństwa. Zmiany w rejestrze są powszechne i może być trudno określić, które z nich są nieprawidłowe i wykraczają poza normalne zachowanie systemu lub oprogramowania”.
Według Prevailion wśród ofiar znalazła się jedna z rosyjskich korporacji, w której od 12 listopada 2021 r. odkryto szereg złośliwych artefaktów. Sama organizacja nie jest nazwana. Biorąc pod uwagę specyfikę wprowadzenia do systemu i długoterminową obecność, zespół P.A.C.T doszedł do wniosku, że DarkWatchman może być wykorzystywany przez grupy hakerów jako narzędzie do penetracji systemu i szpiegostwa.
Interesującą konsekwencją tego najnowszego rozwoju jest to, że całkowicie eliminuje potrzebę zatrudniania przez operatorów podmiotów stowarzyszonych, które normalnie byłyby odpowiedzialne za dostarczanie i pobieranie szkodliwego oprogramowania blokującego pliki. Korzystanie z DarkWatchman jako pierwszego etapu wdrażania oprogramowania ransomware zapewnia jego programistom lepszy nadzór nad całą operacją.
funkcje, które instalują keylogger w rejestrze
Rozprzestrzeniając się za pośrednictwem ukierunkowanych wiadomości phishingowych podszywających się pod powiadomienia o „wygaśnięciu bezpłatnego okresu przechowywania” rosyjskiej firmy logistycznej Pony Express, DarkWatchman tworzy ukrytą bramę dla dalszych złośliwych działań. Sam ładunek trojana jest zawarty w archiwum ZIP dołączonym do listu, który jest prezentowany pod przykrywką faktury.
W swej istocie DarkWatchman jest dwuskładnikowy - jest zarówno trojanem JS, jak i keyloggerem C#, z których ten ostatni jest ukryty przed wykryciem w rejestrze. Oba komponenty są również niezwykle lekkie. Kod JS ma tylko 32 KB, a keylogger ledwo osiąga 8,5 KB.
„Zapisanie pliku binarnego w rejestrze jako zakodowanego tekstu wskazuje, że Darkwatchman jest trwale przypięty, chociaż nigdy nie jest zapisywany na stałe w pamięci dysku. Oznacza to również, że operatorzy złośliwego oprogramowania mogą aktualizować (lub zastępować) program za każdym razem, gdy jest uruchamiany.” - powiedzieli naukowcy.
Po zainstalowaniu DarkWatchman może uruchamiać dowolne pliki wykonywalne, ładować biblioteki DLL, wykonywać kod JS, a nawet autodestrukcję z maszyny. Jego procedura JS jest również odpowiedzialna za trzymanie się systemu poprzez tworzenie zaplanowanego zadania, które uruchamia złośliwe oprogramowanie za każdym razem, gdy użytkownik się loguje.
Raport stwierdza również, że:
„Sam keylogger nie komunikuje się z C&C i nie zapisuje informacji na dysku. Zamiast tego zapisuje dziennik do klucza rejestru, który jest używany jako bufor. Podczas operacji trojan odczytuje i czyści ten bufor przed przesłaniem jego zawartości do serwera C&C.”
DarkWatchman nie został jeszcze uznany, ale Prevailion określił swoją drużynę jako silną. Jednocześnie badacze zauważyli wyłączne kierowanie trojana do firm rosyjskich, a także błędy ortograficzne znalezione w próbkach kodu źródłowego, z których można wywnioskować, że operatorzy prawdopodobnie nie są zasadniczo osobami anglojęzycznymi.
Tłumaczenie wiadomości Nowe bezplikowe złośliwe oprogramowanie wykorzystuje rejestr systemu Windows jako pamięć masową, aby uniknąć wykrycia.
Pełny raport Prevailion jest dostępny tutaj.
bbabo.Net