VenomRAT zloupotrebljava VHD datoteke

AUTOR ·

VenomRAT zloupotrebljava slike virtuelnog diska (eng. virtual hard disk image – VHD), pokazuje istraživanje sigurnosnih istraživača kompanije Forcepoint X-Labs. Ova taktika ne samo da iskorištava ranjivost u tradicionalnim bezbjednosnim mjerama, već takođe pokazuje uznemirujući nivo sofisticiranosti zlonamjernih aktera, koji su sve vještiji u izbjegavanju otkrivanja i izazivanju haosa među žrtvama koje ništa ne sumnjaju.

VenomRAT

VenomRAT zloupotrebljava VHD datoteke; Source: Bing Image Creator

VENOMRAT VHD ZLOUPOTREBA

Upotreba datoteka slike virtuelnog diska (VHD) kao mehanizma za isporuku zlonamjernog softvera nije nova, ali je u posljednje vreme dobila značajnu pažnju. Ove datoteke mogu biti dizajnirane da oponašaju legitimne sistemske komponente ili čak čitave operativne sisteme, što ih čini atraktivnom opcijom za zlonamjerne aktere koji žele da izbjegnu otkrivanje tradicionalnim bezbjednosnim rješenjima. U slučaju VenomRAT zlonamjernog softvera, zlonamjerni akteri su koristili ove datoteke slika kao sredstvo za isporuku ovog veoma sofisticiranog zlonamjernog softvera, za koji se zna da izaziva značajnu štetu i poremećaj.

 

Anatomija napada

VenomRAT napad počinje sasvim nevino – phishing elektronska pošta se šalje nesvjesnim žrtvama, navodeći ih da otvore ono što izgleda kao običan prilog datoteke. Međutim, ova naizgled bezopasna akcija pokreće lančanu reakciju zlonamjernih događaja koji na kraju dovode do kompromitovanja osjetljivih podataka i sistemske manipulacije. Lukava upotreba taktike društvenog inženjeringa od strane zlonamjernog aktera uspešno zaobilazi početnu bezbjednosnu odbranu, omogućavajući zlonamjernom softveru da se učvrsti na žrtvinom uređaju.

Čim se datoteka slike virtuelnog diska (VHD) otvori, ona izvršava grupnu skriptu koja je jako zamagljena nasumičnim karakterima, Base64 kodiranjem i AES šifrovanjem. Ovaj nivo sofisticiranosti čini izuzetno teškim tradicionalnim antivirusnim softverima ili sistemima za detekciju zasnovanim na potpisima da identifikuju zlonamjerni softver. Skripta zatim pokreće PowerShell proces, koji služi kao moćan alat u arsenalu zlonamjernog aktera. Sa PowerShell mogućnostima, moguće je izvršiti dalje zlonamjerne radnje na kompromitovanom sistemu bez izazivanja sumnje.

Skripta takođe kreira svoju kopiju u direktorijumu korisnika i modifikuje sistemske registre, efikasno obezbeđujući upornost čak i ako žrtva pokuša da ukloni ili izbriše zlonamjerni softver. Pored toga, ispušta cmd skriptu u direktorijum za pokretanje (eng. startup) koja garantuje nastavak izvršavanja kad god se korisnik ponovo prijavi na svoj uređaj. Ovaj nivo prikrivenosti karakterističan je za napredne trajne prijetnje (eng. advanced persistent threats – APT), gdje zlonamjerni akteri imaju za cilj da zadrže dugoročni pristup i kontrolu nad kompromitovanim sistemima.

Izvršenje zlonamjerne skupne skripte uključuje nekoliko ključnih aktivnosti, od kojih je svaka dizajnirana da dodatno kompromituje sistem i olakša eksfiltraciju podataka. Jedna takva aktivnost kreira .NET prevedenu izvršnu datoteku zajedno sa odgovarajućom konfiguracionom datotekom. Ova zavisnost je ključna za mrežne veze i vrši provjere sistema koje pomažu u identifikaciji potencijalnih ranjivosti ili slabosti na kompromitovanom uređaju.

Pored toga, ova faza otkriva prisustvo VenomRAT zlonamjernog softvera pomoću usluge hidden virtual network computing – HVNC naprednog mehanizma daljinske kontrole koji omogućava zlonamjernim akterima da manipulišu inficiranim sistemima bez otkrivanja. Zlonamjerni softver takođe navodi AES ključ koji se koristi za dešifrovanje, što je neophodno za održavanje komunikacije između C2 servera i kompromitovanog sistema. Ovaj nivo sofisticiranosti naglašava važnost implementacije robusnih sigurnosnih protokola koji mogu otkriti tako složene prijetnje.

Izvršenje ove skripte označava značajnu tačku eskalacije u lancu napada, gdje VenomRAT počinje da vrši svoj puni uticaj na kompromitovani uređaj. Uz upornost obezbijeđenu izmjenama sistemskih registara i skripti u direktorijum za pokretanje, zlonamjerni akteri sada imaju neometan pristup osjetljivim podacima uskladištenim na uređaju žrtve.

 

Infrastruktura za komandu i kontrolu (C2)

Zlonamjerni softver VenomRAT eksploatiše legitimne usluge poput Pastebin.com, koji služi kao nesvjesni domaćin njegove infrastrukture za komandu i kontrolu (C2). Ova taktika čini izuzetno izazovnim bezbjednosnim timovima i sigurnosnim istraživačima da otkriju prisustvo takvih prijetnji, jer se one neprimjetno uklapaju u postojeće obrasce mrežnog saobraćaja.

Koristeći popularnu platformu za dijeljenje teksta, zlonamjerni akteri su efektivno stvorili prikriveni komunikacioni kanal koji im omogućava da izdaju komande na daljinu bez izazivanja sumnje u tradicionalnim sistemima za otkrivanje ili ljudskim analitičarima koji prate dnevnike događaja (eng. logs). Ovaj nivo sofisticiranosti naglašava važnost implementacije naprednih mogućnosti obavještavanja o prijetnjama i alata za analizu ponašanja koji mogu da identifikuju ovakve taktike.

 

Uticaj na korisnike

Uticaj VenomRAT zlonamjernog softvera na korisnike i organizacije može biti ozbiljan, uzrokujući značajnu štetu i pojedincima i preduzećima. Za korisnike, posljedice infekcije zlonamjernim softverom VenomRAT napada su teške. Jednom inficiran, uređaj pojedinca postaje kompromitovan, omogućavajući zlonamjernim akterima da daljinski pristupe osjetljivim informacijama kao što su akreditivi za prijavu, brojevi kreditnih kartica i lični podaci. Ovo može dovesti do finansijskog gubitka, krađe identiteta, pa čak i fizičke povrede ako osjetljivi detalji padnu u pogrešne ruke. Korisnici takođe mogu iskusiti niz drugih problema, uključujući rušenje sistema, zamrzavanje i loše performanse, što može biti frustrirajuće i dugotrajno za rješavanje.

Sposobnost VenomRAT zlonamjernog softvera da zaobiđe bezbjednosne sisteme korištenjem HVNC naprednog mehanizma daljinske kontrole čini pojedincima još izazovnijim da sami otkriju zlonamjerni softver. To znači da korisnici možda neće shvatiti da su inficirani sve dok se već ne napravi značajna šteta. Kao rezultat toga, neophodno je da pojedinci ostanu oprezni i preduzmu proaktivne korake da se zaštite od VenomRAT napada.

Pored individualne štete i organizacije se suočavaju sa teškim posljedicama kada ih pogodi zlonamjerni softver VenomRAT. Jedna infekcija može dovesti do ugrožavanja osjetljivih poslovnih podataka, uključujući finansijske informacije, evidenciju klijenata i intelektualnu svojinu. Ovo ne samo da dovodi kompanije u opasnost, već i šteti njihovoj reputaciji i narušava povjerenje kupaca i partnera. Organizacije takođe mogu doživjeti značajne zastoje dok rade na obuzdavanju i otklanjanju napada.

Ekonomski uticaj na organizacije može biti značajan, sa troškovima povezanim sa odgovorom na incidente, oporavkom sistema i narušavanjem reputacije koji se brzo povećavaju. U nekim slučajevima, kompanije mogu biti prinuđene da u potpunosti prekinu rad zbog ozbiljnosti napada. Organizacije se takođe mogu suočiti sa regulatornim kaznama i kaznama zbog propusta da zaštite osjetljive podatke.

Ne treba potcijeniti ni psihološki uticaj na zaposlene. VenomRAT napad može stvoriti osjećaj nelagodnosti i nepovjerenja među članovima osoblja koji smatraju da su njihovi lični podaci kompromitovani. To može dovesti do smanjenja morala, smanjene produktivnosti, pa čak i fluktuacije, jer zaposleni mogu tražiti nove opcije kod sigurnijih poslodavaca.

 

KRATAK ISTORIJSKI OSVRT

Prvi nagovještaji o VenomRAT zlonamjernom softveru počeli su da kruže sredinom 2020. godine. Sigurnosni analitičari su brzo shvatili da ova nova prijetnja nije samo još jedna varijanta zlonamjernog softvera, već pre sofisticirani alat dizajniran da izbjegne otkrivanje i izazove ozbiljnu štetu na kompromitovanim sistemima. Dok su sigurnosni istraživači dublje kopali u kôd, otkrili su da VenomRAT zlonamjerni softver djeli upadljive sličnosti sa Quasar RAT zlonamjernim softverom – dobro poznatim trojanskim programom za daljinski pristup. To je mnoge navelo da spekulišu o pravom poreklu ove nove prijetnje.

VenomRAT primarni metod distribucije bio je putem phishing elektronske pošte i kampanja zlonamjernih neželjenih poruka – taktike koje su dokazano provjerene u svojoj sposobnosti da prevare čak i najopreznije korisnike. Ove zlonamjerne poruke često su maskirane kao legitimne datoteke, zajedno sa zamagljenim skriptama dizajniranim da izbjegnu otkrivanje. Jednom kada korisnik pokrene skriptu, VenomRAT zlonamjerni softver bi bio pušten na njihov sistem, omogućavajući zlonamjernim akterima da daljinski pristupe i kontrolišu kompromitovane uređaje po želji.

VenomRAT zlonamjerni softver je označio početak ere u kojoj su autori zlonamjernog softvera počeli da pomjeraju granice onoga što se smatralo mogućim. Sposobnost ovog zlonamjernog alata za daljinski pristup da izbjegne otkrivanje tradicionalnim bezbjednosnim alatima učinila ga je posebno ozbiljnim neprijateljem, primoravajući profesionalce za sajber bezbjednost da preispitaju svoje strategije i taktike. Dok su sigurnosni istraživači nastavili da analiziraju VenomRAT zlonamjerni softver, otkrili su da je ova prijetnja evoluirala dalje od puke eksfiltracije datoteka ili krađe kriptovaluta. Sada ima mogućnosti da manipuliše sistemskim postavkama, krade osjetljive informacije, pa čak i ucjenjuju žrtve korišćenjem mogućnosti da instalira ucjenjivački zlonamjerni softver (eng. ransomware) – jeziv podsjetnik koliko daleko sajber prijetnje mogu da evoluiraju tokom vremena.

 

ZAKLJUČAK

Nedavno otkriće korištenja datoteka slike virtuelnog diska (VHD) za distribuciju VenomRAT zlonamjernog softvera je sofisticirani sajber napad koji izbjegava tradicionalne mjere bezbjednosti. Ovaj metod omogućava zlonamjernim akterima da sa lakoćom isporuče zlonamjerne sadržaje, što čini izazovom za organizacije i pojedince da otkriju i spriječe takve prijetnja.

Upotreba datoteka slike virtuelnog diska (VHD) kao mehanizma isporuke za VenomRAT zlonamjerni softver naglašava evoluirajuću prirodu prijetnji po sajber bezbjednost. Kako sigurnosni timovi i korisnici postaju sve vještiji u identifikaciji i blokiranju poznatih vektora zlonamjernog softvera, zlonamjerni akteri prilagođavaju svoje taktike kako bi ostali ispred. Primjer je iskorištavanje legitimnih usluga kao što je Pastebin.com za skladištenje C2 infrastrukture što dodatno komplikuje napore za otkrivanje.

Ovaj trend naglašava važnost snažnih bezbjednosnih mjera u današnjem digitalnom prostoru. Organizacije moraju dati prioritet tome da budu u toku sa najnovijim obavještajnim podacima o prijetnjama, implementaciji naprednih bezbjednosnih alata i edukaciji korisnika o bezbjednim računarskim praksama. Na taj način se mogu ublažiti rizici koji predstavljaju sofisticirani napadi kao što je VenomRAT zlonamjerni softver.

Na kraju, ovaj trend naglašava potrebu za tekućim istraživanjem novih prijetnji sajber bezbjednosti. Kako se nove ranjivosti otkrivaju i iskorištavaju, od suštinskog je značaja da sigurnosni istraživači i bezbjednosni timovi prilagode svoje strategije kako bi ostali ispred – što često zahteva inovativna rješenja i zajedničke napore u svim industrijama i vladama.

 

ZAŠTITA

Evo nekoliko preporuka za zaštitu od VenomRAT zlonamjernog softvera:

  1. Da bi se zaštitili od prijetnji koje predstavlja VenomRAT zlonamjerni softver, neophodno je primijeniti robusne mjere bezbjednosti u svim digitalnim sredstvima. Ovo uključuje redovno ažuriranje softvera najnovijim bezbjednosnim ispravkama, korištenje autentifikacije u više koraka (eng. multi-factor authentication – MFA) za dodatnu zaštitu i održavanje naprednog antivirusnog softvera koji može da otkrije i spriječi zlonamjerne aktivnosti. Preduzimanjem ovih proaktivnih koraka, organizacije mogu značajno smanjiti svoju ranjivost na sajber prijetnje kao što je VenomRAT zlonamjerni softver;
  2. Implementacija robusnih sigurnosnih protokola za elektronsku poštu je još jedan ključni korak u zaštiti od pokušaja krađe identiteta i verifikaciji autentičnosti nepoznatih veza ili priloga. Ovo uključuje korištenje filtera za neželjenu poštu koji mogu da otkriju i blokiraju sumnjive elektronske poruke, kao i primjenu smjernica za prijavljivanje i istragu potencijalnih phishing napada. Preduzimajući ove mjere predostrožnosti, organizacije mogu da smanje svoju izloženost prijetnjama kao što je VenomRAT zlonamjerni softver;
  3. Napredni antivirusni softver je kritična komponenta u zaštiti od napada zlonamjernog softvera poput VenomRAT zlonamjernog softvera. Ovaj tip softvera koristi sofisticirane algoritme i tehnike mašinskog učenja za otkrivanje i sprečavanje zlonamjernih aktivnosti. Korištenjem naprednog antivirusnog softvera koji može da ide u korak sa prijetnjama koje se razvijaju, organizacije mogu značajno poboljšati svoj bezbjednosni status;
  4. Jedan od ključnih mjera za zaštitu od VenomRAT zlonamjernog softvera je blokiranje internet adresa sa kojih se preuzimaju zlonamjerni korisni tovari (eng. payloads) ili olakšavaju komunikaciju između kompromitovanih sistema i komandno-kontrolnih (C2) servera koje koriste zlonamjerni akteri za daljinsku kontrolu inficiranih uređaja. Ovo uključuje korištenje alata za filtriranje internet adresa koji mogu da otkriju i blokiraju sumnjive internet lokacije, kao i primjenu smjernica za izveštavanje i istragu potencijalnih bezbjednosnih incidenata;
  5. Korištenje obavještajnih podataka o prijetnjama koji pružaju informacije o poznatim zlonamjernim IP adresama, domenima povezanim sa aktivnostima komande i kontrole (C2) ili drugim pokazateljima kompromitovanja je još jedna kritična mjera u zaštiti od VenomRAT zlonamjernog softvera. Ovo uključuje korištenje pouzdanih izvora za informisanje o smjernicama za blokiranje sumnjivih internet lokacija i prijavljivanje potencijalnih bezbjednosnih incidenata.
  6. Sprovođenje jasne politike za izveštavanje i istragu potencijalnih bezbjednosnih incidenata u vezi sa VenomRAT napadima je od suštinskog značaja za smanjenje uticaja ovih prijetnji na organizacije. Ovo podrazumijeva posjedovanje plana odgovora na sajber prijetnju koji se odnosi na uspostavljanje procedura za identifikaciju, zadržavanje, iskorjenjivanje kompromitovanih sistema i sprovođenje mjera za sprečavanje budućih pojava;
  7. Korištenje naprednih alata za praćenje mreže koji mogu da otkriju sumnjive aktivnosti ili anomalije koje ukazuju na VenomRAT napad je ključno za zaštitu od ove prijetnje. Ovi alati koriste algoritme mašinskog učenja da identifikuju obrasce povezane sa zlonamjernim ponašanjem, omogućavajući brzu akciju kada se otkriju potencijalni bezbjednosni incidenti;
  8. Sprovođenje redovnih bezbjednosnih provjera i vježbi penetracijskog testiranja može pomoći organizacijama da procjene svoju ranjivost na prijetnje kao što je VenomRAT zlonamjerni softver i identifikuju oblasti za poboljšanje svog bezbjednosnog položaja. Ovo uključuje korišćenje ovih aktivnosti kao mogućnosti za testiranje efikasnosti postojećih bezbjednosnih kontrola i sprovođenje novih mjera gdje je to potrebno;
  9. Redovno praviti rezervne kopije kritičnih podataka da bi se spriječili gubici u slučaju da sistem kompromituje zlonamjerni softver ili drugi bezbjednosni incidenti. Napadi zlonamjernog softvera mogu dovesti do značajnih finansijskih gubitaka zbog gubitka produktivnosti, narušene reputacije i potencijalnih regulatornih kazni. Uvjeriti se da je primijenjena dobra strategija pravljenja rezervnih kopija za sve kritične sisteme, datoteke i aplikacije. Redovne rezervne kopije će pomoći da se smanje zastoji i troškovi oporavka ako dođe do napada;
  10. Konačno, edukacija korisnika o najboljim praksama sajber bezbjednosti je od suštinskog značaja za zaštitu od VenomRAT napada koji se često oslanjaju na taktiku društvenog inženjeringa kako bi prevarili pojedince da primjene zlonamjerni softver kao što je VenomRAT na kompromitovanim sistemima. Ovo uključuje pružanje sesija obuke ili radionica fokusiranih na teme kao što su svest o phishing napadima i bezbjedne navike rada na računaru.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.