AsyncRAT zloupotrebljava JavaScript

AsyncRAT zloupotrebljava JavaScript zadnjih 11 mjeseci stoji u objavi sigurnosne kompanije AT&T Alien Labs. Zlonamjerni akter je tokom navedenog perioda radio na isporuci AsyncRAT zlonamjernog softvera preko preko početne JavaScript datoteke, ugrađene u phishing stranicu. Sama činjenica o detekciji više od 300 uzoraka i preko 100 domena, pokazuje da je zlonamjerni akter uporan u svojim namjerama.

AsyncRAT

AsyncRAT zloupotrebljava JavaScript; Source: Bing Image Creator

ASYNCRAT

AsyncRAT je alatka za daljinski pristup (eng. Remote Access Tool – RAT) otvorenog kôda dizajnirana da daljinski nadgleda i kontroliše druge računare putem bezbjedne šifrovane veze. Kao alatka za daljinsku administraciju otvorenog kôda, može se zloupotrebiti i koristiti zlonamjerno, jer pruža funkcije kao što praćenje korisničkog unosa (eng. keylogger), kontrolu udaljene radne površine i mnoge druge funkcije koje mogu nanijeti štetu računaru žrtve. Pored toga, AsyncRAT se može isporučiti putem različitih metoda kao što su ciljano pecanje (eng. spear-phishing), zlonamjerno oglašavanje (eng malvertising), paket zlonamjernih programa (eng. exploit kit), piratski softver i druge tehnike.

 

KAMPANJA

Sigurnosni istraživač su primijetili porast ciljanog pecanja određenog broja korisnika u određenim poslovnim organizacijama. Prilog koji je korisnik dobijao u ovom napadu je podrazumijevao GIF datoteku koja je vodila do SVG datoteke, koja je vodila dalje do veoma zamagljenog JavaScript kôda, koji je dalje išao do zamagljene PowerShell skripte i konačnog izvršavanja AsyncRAT zlonamjernog softvera. Određeni obrasci u kôdu su omogućili sigurnosnim istraživačima da prate kampanju sve do februara 2023. godine.

 

FUNKCIONISANJE

Proces infekcije korisnika se odvija u nekoliko faza koje su dodatno zamagljene od strane servera za komandu i kontrolu (C&C) koji povjerava da li će se zlonamjerni softver izvršiti u izolovanom okruženju (eng. sandbox) prije nego što isporuči glavni korisni teret – AsyncRAT.

Tokom cijele kampanje, JavaScript datoteke su isporučene ciljanim žrtvama preko zlonamjernih phishing internet stranica. Ove datoteke, iako su očigledno skripte, sadrže dugačke nizove koji su komentarisani, sa tekstovima sastavljenim od nasumično pozicioniranih riječi. Ove skripte su veoma zamagljene, sa nekoliko funkcija za kretanje po komandama/nizovima znakova koji se mogu detektovati, a URL do C&C je zamaskiran u obliku decimalnih vrijednosti. Da bi dešifrovao URL, skripta oduzima konstantu vrijednost i konvertuje broj u ASCII znak.

C&C i URL se često ažuriraju, tako da je otežano njihovo praćenje. Pored toga što povremeno mijenja C&C i URL, zlonamjerni akter pokušava da generiše potpuno novu datoteku programa za učitavanje za svaku žrtvu. Nove datoteke nose nova nasumična imena promjenljivih ili novu konstantu koja se oduzima da bi se dobio ASCII prikaz URL adrese, što otežava dosljedno izvođenje tehnika detekcije.

Nakon što C&C server pošalje skriptu koja sadrži base64 kôd preko HTTP veze sa neophodnim funkcijama za dekodiranje započinje proces kojim se čvrsto kodirani ključ upisuje memoriju kako bi izvršio korisni teret bez datoteke u PowerShell skripti. Još jednom, sav kôd će imati promjenljive sa dugim nasumičnim nizovima znakova, komande koje su šifrovane i koje treba da se konvertuju u ASCII, kao i funkcije za izbjegavanje softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR), statičke detekcije i analize od strane istraživača.

Nakon dekodiranja, dešifrovanja i dekompresije kôda, završna skripta se može sažeti u komandu u kojoj se evidentira naziv korisničkog uređaja u jednoj promjenjivoj, dok druga promjenjiva predstavlja vjerovatnoću da je zaražena mašina virtualna mašina ili izolovano okruženje. C&C server ili ima tabelu sa svim mogućim odgovorima ili ima opseg vrijednosti koje prihvata sa minimalnom vrijednošću koja je viša od konstante da bi se izbjeglo validiranje pokušaja grube sile, a maksimalna vrijednost je vezana za dodavanje svih “pogrešnih” odgovora plus konstanta. Ova tehnika za otkrivanje izolovanog okruženja omogućava zlonamjernom akteru da izbjegne uspješno otkrivanje od strane mnogih najpopularnijih alata na bazi izolovanog okruženja.

 

Lažni trag

Ako C&C server dobije nevažeći odgovor, on ili preusmjerava zahtev na Google ili vraća novu skriptu sličnu prethodnim, koja dopire do novog korisnog opterećenja na određenoj domeni. Domen čuva datoteke tri dana i nova nasumična URL putanja se generiše za svaku novu otpremljenu datoteku, što znači da napadač nije zaista zabrinut da li će ovaj korisni teret stigne do žrtava.

Jedan od identifikovanih uzoraka može izgledati kao AsyncRAT klijent na osnovu nekih antivirusnih detekcija, ali to je daleko od istine. Kada se dekompilira, RAT je zapravo odvraćanje pažnje za sve istraživače koji se bave kampanjom. Uzorak je mamac napravljen da liči na RAT, a to se zaključuje iz nekoliko razloga. Programski sklop nosi naziv DecoyClient čija konfiguracija nije šifrovana kao što bi bila u AsyncRAT uzorku. Pored toga, uzorak ne sadrži C&C server, već samo adrese u petlji.

U suprotnom, ako C&C server dobije ispravan odgovor od provjere na prisustvo izolovanog okruženja, on daje skriptu sa domenom i URL adresom koji su zamaskirani i odakle će se kasnije preuzeti AsyncRAT uzorak.

 

ZAKLJUČAK

Ova kampanja pokazuje koliko su zlonamjerni akteri odlučni da inficiraju korisničke uređaje i prođu neprimećeni sa stotinama različitih uzorka tokom 2023. godine. Uloženi napori na zamagljivanju uzoraka i stalne modifikacije pokazuju koliko napora zlonamjerni akteri ulažu da što duže ostanu neprimjetni. Ipak, napori koje sigurnosni istraživači ulažu na proučavanje raznih uzoraka i obrazaca ponašanja zlonamjernih aktera omogućavaju njihovu identifikaciju kada se pojave sa novom verzijom ili novim obrascem ponašanja.

 

ZAŠTITA

Kako bi se zaštitili, korisnici mogu slijediti ove preporuke:

  • Redovno održavanje programa obuke korisnika kako bi se edukovali o načinima prepoznavanja phishing napada, zlonamjernih aktivnosti i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne sajber bezbjednosti  koja će omogućiti prepoznavanje i prijavu sumnjivih aktivnosti,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja,
  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
  • Koristiti segmentaciju mreže kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mreže uz ograničenje neželjene komunikacije između segmenata,
  • Redovno pravljenje rezervnih kopija uz pravilnu strategiju čuvanja je posljednja odbrana od gubitka podataka i omogućava njihovo vraćanje,
  • Dobar plan odgovara na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u slučaj sajber incidenta.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.