VenomRAT phishing kampanja

AUTOR ·

Masovna phishing kampanja čiji je cilj isporuka VenomRAT zlonamjernog softvera cilja različite sektore u Latinskoj Americi, prvenstveno Meksiko, Kolumbiju, Portugal, Brazil, Dominikansku Republiku i Argentinu, ali i  Španiju i Sjedinjene Američke Države. Cilj ove kampanje je sakupiti osjetljive podatke i daljinski upravljati sistemima.

VenomRAT

VenomRAT phishing kampanja; Source: Bing Image Creator

DISTRIBUCIJA

U ovoj kampanji, prema informacijama sigurnosnih istraživača kompanije Fortinet, lanac infekcije počinje sa phishing porukama elektronske pošte koje sadrže zlonamjerne SVG datoteke preko kojih se započinje proces u više faza koji uključuje nekoliko alata i koraka.

Zlonamjerni akteri šalju phishing elektronske poruke koje se odnose na obavještenja o isporuci ili fakturama, koji sadrže prilog u obliku Scalable Vector GraphicsSVG datoteke. Zlonamjerne SVG datoteke su dizajnirane da ispuste ZIP arhivu, kada se otvore, pomoću određene alatke kao što je BatCloak. Ovaj alat pomaže da se zaobiđu antivirusne zaštite i osigurava da korisni teret ostane neotkriven. Kada se ZIP arhiva raspakuje, ona sadrži Batch datoteku sakrivenu pomoću ScrubCrypt zlonamjernog okvira. Upotreba ovog alata otežava antivirusnim proizvodima da otkriju zlonamjerni kôd.

Kada se Batch fajl izvrši, VenomRAT zlonamjerni softver se učitava u memoriju dok održava vezu sa svojim serverom za komandu i kontrolu (C2). Nakon uspješne infekcije, dodaci kao što su VenomRAT verzija 6, Remcos, XWorm, NanoCore i kradljivci kripto novčanika se preuzimaju sa C2 servera da bi se proširio pristup i mogućnosti napadača u okruženju žrtava. Ova višestepena tehnika distribucije je dizajnirana da zaobiđe mehanizme otkrivanja i osigura široku infiltraciju.

 

“Dok primarni program VenomRAT može izgledati jednostavno, on održava komunikacione kanale sa C2 serverom kako bi nabavio dodatne dodatke za različite aktivnosti. Ovo uključuje VenomRAT v6.0.3 sa mogućnostima praćenja korisničkog unosa, NanoCore RAT, Xworm i Remcos RAT. Ovaj [Remcos RAT] dodatak je distribuiran sa VenomRAT C2 koristeći tri metode: zamagljenu VBS skriptu pod nazivom remcos.vbs, ScrubCrypt i Guloader PowerShell”

 – Cara Lin, Fortinet –

 

BatCloak

BatCloak je alatka za prikrivanje zlonamjernog softvera koja je dostupna na mračnim internet forumima od kraja 2022. godine Zasnovana je na alatu Jlaive i prvenstveno se koristi za preuzimanje sljedeće faze korisnog tereta na način dizajniran da zaobiđe tradicionalne mehanizme detekcije. BatCloak je poznat po svojoj sposobnosti da preuzme i izvrši sljedeću fazu korisnog opterećenja koristeći različite tehnike dizajnirane da izbjegnu otkrivanje. To postiže korišćenjem više slojeva šifrovanja i zamagljivanja, što otežava bezbjednosnim rješenjima da identifikuju i blokiraju zlonamjerni kôd. Alat takođe uključuje funkcije koje mu pomažu da izbjegne analizu od strane automatizovanih sistema, kao što su izolovana okruženja (eng. sandboxes) ili virtualna okruženja.

Jedna značajna karakteristika BatCloak alata je njegova sposobnost preuzimanja i izvršavanja korisnih tovara sa udaljenih servera koristeći HTTP(S) zahteve. Ovo omogućava napadačima da isporuče svoj zlonamjerni softver na fleksibilniji i dinamičniji način, što otežava bezbjednosnim rješenjima da otkriju i blokiraju napade. Pored toga, BatCloak može da koristi različite tehnike da izbjegne antivirusni softver, kao što su polimorfizam ili pakovanje.

Još jedan alat koji je povezan sa BatCloak alatom je ScrubCrypt, koji su istraživači prvi put dokumentovali u martu 2023. godine i smatra varijantom BatCloak alata.

 

ScrubCrypt

ScrubCrypt je zlonamjerni okvir koji zlonamjerni akteri koriste za distribuciju različitih korisnih tovara (eng. payloads) na kompromitovanim sistemima. Primarni cilj ScrubCrypt korišćenja je da se obezbijedi postojanost i prikrivenost napada, pošto predstavlja izazov za bezbjednosna rješenja da otkriju i zaustave prijetnju.

ScrubCrypt ima dva glavna cilja: uspostavljanje postojanosti i učitavanje ciljanog zlonamjernog softvera. To postiže stvaranjem stalnog prisustva na zaraženom sistemu, osiguravajući da čak i ako korisnik ponovo pokrene svoj uređaj ili antivirusni softver ukloni početnu infekciju, ScrubCrypt će nastaviti da radi u pozadini. Ovaj zlonamjerni okvir pored toga što učitava korisni teret VenomRAT,  on učitava i druge zlonamjerne dodatke na kompromitovane sisteme. Kada se učitaju, ovi dodaci omogućavaju napadačima da dobiju neovlašteni pristup i kontrolu nad pogođenim uređajima na daljinu. Oni mogu da obavljaju razne zlonamjerne aktivnosti bez znanja ili dozvole žrtve, kao što su krađa osjetljivih podataka, instaliranje dodatnog zlonamjernog softvera ili čak pokretanje daljih napada na druge mreže.

 

VENOMRAT

VenomRAT je trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) koji je prvi put identifikovan 2020. godine. To je modifikovana verzija dobro poznatog Quasar RAT zlonamjernog softvera i distribuira se preko zlonamjernih priloga u porukama neželjene elektronske pošte. Zlonamjerni akteri koriste VenomRAT da bi dobili neovlašteni pristup i kontrolu nad ciljanim sistemima.

Jednom instaliran na sistem, napadač može daljinski da manipuliše uređajem, omogućavajući mu da izvrši razne zlonamjerne aktivnosti bez znanja ili pristanka korisnika uređaja. To može uključivati krađu osjetljivih podataka, instaliranje dodatnog zlonamjernog softvera ili čak preuzimanje potpune kontrole nad uređajem. Osnovne konfiguracije VenomRAT zlonamjernog softvera su Base64 kôdirane i AES-CBC šifrovane. Ovo šifrovanje osigurava da su konfiguracijski podaci zaštićeni za čitanja od strane neovlaštenih korisnika, dodajući dodatni nivo bezbjednosti funkcionalnosti zlonamjernog softvera.

Nakon završetka provjere sistemskog okruženja, VenomRAT pokreće komunikaciju sa svojim serverom za komandu i kontrolu (C2). Početni paket sadrži osnovne informacije o žrtvi, kao što su specifikacije hardvera, korisničko ime, detalji operativnog sistema, dostupnost kamere, putanja izvršenja, ime prozora u prvom planu i naziv antivirusnog proizvoda instaliranog na uređaju. Ove podatke napadač koristi da prilagodi svoje napade specifičnim ranjivostima ciljanog sistema, povećavajući vjerovatnoću uspješnog kompromisa.

 

Izbjegavanje detekcije

VenomRAT zlonamjerni softver koristi različite napredne tehnike izbjegavanja da zaobiđe bezbjednosne mjere i prikriveno djeluje u okruženju žrtve. Primarni načini izbjegavanja otkrivanja zlonamjernog softvera uključuju upotrebu zamagljivanja, izvršavanje bez datoteka i razne trikove za izbjegavanje analize.

Jedan od načina izbjegavanja koji koristi VenomRAT zlonamjerni softver je opsežna upotreba metode zamagljivanja da bi sakrio svoj teret od bezbjednosnih sistema. ScrubCrypt, Batch datoteka koja se koristi u napadu, koristi Advanced Encryption Standard – AES sa režimom Cipher Block ChainingCBC i GZIP kompresijom za kôdiranje i kompresiju svog zlonamjernog sadržaja. Ovaj nivo zamagljenosti otežava bezbjednosnim rješenjima da identifikuju i analiziraju korisni teret.

Tu je i tehnika izvršavanja bez datoteka kako bi se izbjeglo ostavljanje tragova na zaraženim sistemima. Zlonamjerni softver VenomRAT ne stvara nikakve izvršne datoteke tokom procesa infekcije. Umjesto toga, on se ubacuje u postojeće procese ili koristi PowerShell skripte za izvršavanje svog kôda. Ovaj metod predstavlja izazov za bezbjednosna rješenja da otkriju prisustvo ovog zlonamjernog softvera u sistemu.

VenomRAT zlonamjerni softver koristi i trikove protiv analize da bi izbjegao otkrivanje tokom obrnutog inženjeringa i analize. Na primjer, kada se analizira, zlonamjerni softver može da se pauzira ili da prekine svoj rad ako su ispunjeni specifični uslovi, kao što je prisustvo programa za otklanjanje grešaka ili izolovanog okruženja. Pored toga, može koristiti tehnike zamagljivanja kôda kao što su polimorfizam, šifrovanje ili kôdiranje nizova kako bi njegov kôd bio težak za razumijevanje i analizu.

Za održavanje uporišta na kompromitovanim sistemima VenomRAT zlonamjerni softver koristi napredne mehanizme postojanosti. Ovaj zlonamjerni softver kreira ključeve u registrima sistema koji mu omogućavaju da se automatski pokrene nakon pokretanja sistema, osiguravajući njegovo kontinuirano prisustvo čak i ako se korisnik odjavi ili isključi svoj uređaj. Pored toga, može da koristi tehnike kao što su DLL injekcija i ubacivanje zlonamjernog kôda u legitimne procese (eng. process hollowing) da bi se učitao u memoriju bez ostavljanja tragova datoteka na disku.

VenomRAT zlonamjerni softver koristi i sofisticirane tehnike izbjegavanja za zaobilaženje bezbjednosnih mjera kao što su AMSI (Antimalware Scan Interface) i ETW (Event Tracing for Windows). Na primjer, on može da koristi ubrizgavanje kôda ili trikove za DLL učitavanje da ubaci zlonamjerne skripte u legitimne procese koje antivirusni softver ne skenira. Pored toga, može da manipuliše evidencijama događaja da bi izbjegao detekciju od strane bezbjednosnih riješenja koja nadgledaju ove evidencije u potrazi za sumnjivim aktivnostima.

Na kraju, mogućnosti VenomRAT zlonamjernog softvera su proširene kroz dodatke kao što su NanoCore, Remcos, XWorm i specijalizovane kradljivce kripto novčanika. Ovi dodaci omogućavaju napadačima da obavljaju razne zlonamjerne aktivnosti na daljinu, kao što su praćenje korisničkog unosa (eng. keylogging), krađa podataka, neovlašteni pristup sistemu i još mnogo toga. Upotreba ovih dodataka dodatno povećava sofisticiranost i doseg VenomRAT napada.

 

“Osnovni program VenomRAT može izgledati pojednostavljeno, ali podržava komunikacione kanale sa C2 serverom za primanje dodatnih dodataka, proširujući potencijalni opseg zlonamjernih aktivnosti. Naša analiza otkriva složen napad koji koristi višeslojne metode zamagljivanja i izbjegavanja za distribuciju i izvršavanje VenomRAT preko ScrubCrypt-a.”

 – Cara Lin, Fortinet –

 

Funkcionalnosti

VenomRAT trojanac za daljinski pristup koji je pomenut u istraživanju je u verziji 6.0.3. Jedna od njegovih naprednih funkcionalnosti uključuje mogućnosti daljinskog upravljanja, koje omogućavaju napadaču da preuzme potpunu kontrolu nad zaraženim sistemom. Ovo može uključivati različite radnje kao što su:

  1. Praćenje korisničkog unosa koji VenomRAT zlonamjerni softver prikuplja i šalje ukradene podatke iz aktivnosti tastature žrtve na svoj komandni i kontrolni (C2) server,
  2. Napadač može da manipuliše datotekama na zaraženom sistemu, uključujući njihovo kreiranje, brisanje, preimenovanje ili modifikovanje. Ova funkcionalnost je korisna za krađu osjetljivih informacija ili dalje širenje zlonamjernog softvera,
  3. VenomRAT zlonamjerni softver omogućava napadaču da upravlja procesima koji se pokreću na zaraženom sistemu. Oni imaju mogućnost prekinuti, kreirati nove ili modifikovati postojeće procese,
  4. Mogućnosti umrežavanja koje omogućavaju napadaču da izvrši različite radnje kao što su kreiranje i brisanje mrežnih veza, slanje elektronske pošte sa zlonamjernim prilozima i skeniranje mreža u potrazi za ranjivim sistemima,
  5. VenomRAT zlonamjerni softver može postići postojanost na zaraženom sistemu ubrizgavanjem u legitimne procese ili modifikacijom datoteka za pokretanje sistema. Ovo osigurava da nastavi da funkcioniše čak i nakon ponovnog pokretanja,
  6. Jedna od naprednih funkcionalnosti VenomRAT zlonamjernog softvera je njegova sposobnost da preuzme i izvrši dodatne dodatke sa svog C2 servera za različite aktivnosti. Ovi dodaci mogu uključivati alate za praćenje korisničkog unosa, backdoors, alate za preuzimanje i još mnogo toga,
  7. VenomRAT zlonamjerni softver šifruje sve C2 sesije koristeći certifikat koji je naveden u njegovoj konfiguraciji kao mjeru za dodatnu sigurnost i skrivenost. Ovo otežava alatima za analizu mrežnog saobraćaja da otkriju zlonamjernu komunikaciju između zaraženog sistema i C2 servera,
  8. Zlonamjerni softver koristi tehnike protiv obrnutog inžinjeringa kao što su zamagljivanje kôda i šifrovanje da bi otežao analizu svog izvornog kôda sigurnosnim istraživačima ili lovcima na prijetnje. To otežava otkrivanje, analizu i neutralizaciju zlonamjernog softvera,
  9. VenomRAT zlonamjerni softver koristi različite mehanizme postojanosti kako bi osigurao da ostane na zaraženom sistemu čak i nakon ponovnog pokretanja ili drugih pokušaja da se ukloni. Ovi mehanizmi uključuju ubrizgavanje u legitimne procese, modifikovanje datoteka za pokretanje sistema ili korišćenje ključeva sistemskih registara,
  10. Nakon svih navedenih, jedna od najopasnijih mogućnosti koju VenomRAT zlonamjerni softver pruža je mogućnosti daljinskog pristupa za napadače. Ova mogućnost napadačima omogućava da preuzmu potpunu daljinsku kontrolu nad zaraženim sistemom, što se može iskoristiti za razne zlonamjerne aktivnosti kao što su krađa podataka, izviđanje mreže i širenje dodatnog zlonamjernog softvera.

 

Zlonamjerni dodaci

NanoCore, Remcos i XWorm su tri različite porodice zlonamjernog softvera koje su povezane sa zlonamjernim akterima koji stoje iza VenomRAT zlonamjernog softvera. Ove porodice zlonamjernog softvera proširuju mogućnosti VenomRAT zlonamjernog softvera tako što pružaju dodatne funkcionalnosti za krađu podataka, praćenja korisničkog unosa i neovlašteni pristup sistemu.

NanoCore je ozloglašeni trojanac za daljinski pristup (RAT) koji je prvi put otkriven 2013. godine. Popularnost je stekao zbog svoje sposobnosti da daljinski pristupa i kontroliše računare žrtve bez njihovog znanja. NanoCore se distribuira preko zamagljenih VBS datoteka, koje su često prerušene u legitiman softver ili priloge elektronske pošte. Zlonamjerni softver koristi steganografske metode da sakrije zlonamjerni kôd unutar slika, što otežava otkrivanje za bezbjednosna rješenja. Kada se izvrši, NanoCore uspostavlja vezu sa svojim serverom za komandu i kontrolu (C2), dajući napadačima potpunu kontrolu nad kompromitovanim sistemima.

Remcos je još jedan RAT koji je prvobitno bio legitiman softver za daljinsko upravljanje, ali su ga zlonamjerni akteri prenamijenili u zlonamjerne svrhe. Slično NanoCore zlonamjernom softveru, Remcos se distribuira kroz zamagljene VBS datoteke i koristi tehnike steganografije da sakrije svoje prisustvo. Jednom instaliran na sistemu žrtve, Remcos daje napadačima mogućnost da dobiju osjetljive informacije kao što su pritisak na tastere i akreditivi. Takođe omogućava daljinsku kontrolu kompromitovanog uređaja, omogućavajući napadačima da izvrše komande i instaliraju dodatni zlonamjerni softver.

XWorm je crv koji se širi putem priloga elektronske pošte ili prenosivih medija. Kada se izvrši, XWorm uspostavlja vezu sa svojim C2 serverom i preuzima i instalira drugi zlonamjerni softver. Ovo omogućava napadačima da prošire svoj domet na kompromitovanim mrežama inficiranjem više sistema bez potrebe za dodatnim naporom.

Kao što je već rečeno, veza između VenomRAT zlonamjernog softvera i ove tri porodice zlonamjernog softvera leži u njihovoj upotrebi kao dodataka ili modula za VenomRAT napade. Sigurnosni istraživači su došli do zaključka da napadači postavljaju NanoCore, Remcos, XWorm i specijalizovani softver za krađu kripto novčanika zajedno sa VenomRAT zlonamjernim softverom kako bi proširili domet svojih napada, čineći VenomRAT još snažnijom prijetnjom.

 

ZAKLJUČAK

VenomRAT zlonamjerni softver je sofisticirani trojanac za daljinski pristup dizajniran da izbjegne detekciju na različite načine koristeći višestruki korisni tereti za zaobilaženje mehanizama zaštite. Njegov primarni cilj je da dobije neovlašteni pristup i kontrolu nad ciljanim sistemima, omogućavajući napadačima da izvrše zlonamjerne aktivnosti bez znanja ili pristanka žrtve. Proces infekcije varira u zavisnosti od okruženja, što ga čini raznovrsnom prijetnjom koja se može prilagoditi različitim okruženjima. Kao i svaki RAT, VenomRAT zlonamjerni softver predstavlja značajne rizike i trebalo bi ga ozbiljno shvatiti kako organizacije tako i pojedinci.

 

ZAŠTITA

Kako bi korisnici zaštitili svoje uređaje, evo nekoliko preporučenih radnji za zaštitu od VenomRAT zlonamjernog softvera:

  1. Napadi prvenstveno počinju sa phishing porukama elektronske pošte koje sadrže veze ili priloge koji mogu dovesti do infekcije VenomRAT zlonamjernim softverom. Zbog toga je od suštinskog značaja da korisnici budu posebno pažljivi kada rukuju sa takvim porukama elektronske pošte i da izbjegavaju klikove na sumnjive veze ili otvaranje neprovjerenih priloga elektronske pošte,
  2. Potrebno je koristiti pouzdan antivirusni softver koji može pomoći u zaštiti sistema od zlonamjernog softvera kao što je VenomRAT. Takođe je potrebno osigurati da je antivirusni softver konfigurisan da skenira sve dolazne elektronske poruke, internet saobraćaj i datoteke u realnom vremenu,
  3. Održavati sve instalirane aplikacije, operativni sistemi i dodatke ažuriranim sa najnovijim bezbjednosnim ispravkama. Zastareli softver može ostaviti ranjivosti otvorene za napadače da ih iskoriste,
  4. Koristiti jake lozinke i autentifikaciju u više koraka  (eng. multi-factor authentication – MFA). Primjena jake politike lozinki i omogućavanje autentifikaciju u više koraka na kritičnim nalozima može pomoći u sprečavanju neovlaštenog pristupa čak i ako su akreditivi korisnika ukradeni,
  5. Vršiti redovnu obuku zaposlenih o najnovijim taktikama phishinga, tehnikama društvenog inženjeringa i praksama bezbjednog pretraživanja interneta. Manje je vjerovatno da će dobro obaviješten tim zaposlenih nasjesti na ciljane napade, ako su upoznati kako oni funkcionišu,
  6. Konfigurisati filtere za neželjenu poštu na serveru elektronske pošte organizacije ili dobavljača usluga da blokiraju sumnjive elektronske poruke na osnovu analize sadržaja, reputacije pošiljaoca i drugih faktora. Ovo može pomoći u sprečavanju pokušaja phishinga napada da stignu u prijemno sanduče korisnika,
  7. Koristiti virtualnu privatnu mrežu (VPN) kada se pristupa osjetljivim podacima preko javnih mreža, da bi se šifrovala internet komunikacija i zaštitila od potencijalnih napada čovjeka u sredini (eng. man-in-the-middle attacks),
  8. Redovno pregledati sistemske evidencije, mrežni saobraćaj i ponašanje korisnika za bilo kakve neuobičajene ili potencijalno zlonamjerne aktivnosti. Implementirati rješenja za bezbjednosne informacije i upravljanje događajima (eng. security information and event management – SIEM) kako bi se automatizacijom ovog procesa i poboljšali mogućnosti otkrivanja prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.