{"id":9072,"date":"2026-03-10T22:18:16","date_gmt":"2026-03-10T21:18:16","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=9072"},"modified":"2026-03-10T22:18:16","modified_gmt":"2026-03-10T21:18:16","slug":"voidgeist-visestepeni-zlonamjerni-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/","title":{"rendered":"VOID#GEIST: Vi\u0161estepeni zlonamjerni softver"},"content":{"rendered":"<p><em>VOID#GEIST<\/em> zlonamjerni softver koristi napredni vi\u0161estepeni lanac napada, koji se odlikuje sposobno\u0161\u0107u da se besprijekorno uklopi u legitimne aktivnosti korisnika i istovremeno izbjegne tradicionalne bezbjednosne kontrole, <a href=\"https:\/\/www.securonix.com\/blog\/voidgeist-stealthy-multi-stage-python-loader\/\" target=\"_blank\" rel=\"noopener\">pokazuje istra\u017eivanje<\/a> sigurnosnih istra\u017eiva\u010da <em>Securonix Threat Research<\/em>.<\/p>\n<div id=\"attachment_9073\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9073\" class=\"wp-image-9073 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware.jpg\" alt=\"VOIDGEIST\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/VOIDGEIST-Malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-9073\" class=\"wp-caption-text\"><em>VOID#GEIST: Vi\u0161estepeni zlonamjerni softver; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#VOIDGEIST_ZLONAMJERNI_SOFTVER\">VOID#GEIST ZLONAMJERNI SOFTVER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#Proces_napada\">Proces napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#Mehanizam_postojanosti\">Mehanizam postojanosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#C2_Komunikacija\">C2 Komunikacija<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2026\/03\/10\/voidgeist-visestepeni-zlonamjerni-softver\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"VOIDGEIST_ZLONAMJERNI_SOFTVER\"><\/span><strong><em>VOID#GEIST<\/em> ZLONAMJERNI SOFTVER<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Otkri\u0107e kampanje <em>VOID#GEIST,<\/em> koju odlikuje vi\u0161estepena struktura zasnovana na skriptama, predstavlja novu granicu u naprednim pratnjama. Ova kampanja <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> identifikovana je kao visoko modularna i okvir osmi\u0161ljen da izbjegne tradicionalne bezbjednosne kontrole. Kori\u0161tenjem legitimnih alata, poput ugra\u0111enog <em>Python<\/em> runtime i <em>Microsoft<\/em> binarnih datoteka, zlonamjerni akteri stvaraju prikriveni lanac napada koji ote\u017eava otkrivanje i forenziku. Dodatnu prednost im daje upotreba ubrizgavanja komandnog okru\u017eenja bez datoteka, \u010dime se pove\u0107ava sposobnost izbjegavanja.<\/p>\n<p>Po\u010detni vektor pristupa u <em>VOID#GEIST<\/em> kampanji zasniva se na <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronskoj po\u0161ti sa grupnim skriptama namijenjenim raspore\u0111ivanju naknadnih korisnih podataka. Na ovaj na\u010din <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> uspijevaju da se uklope u uobi\u010dajene aktivnosti sistema, ote\u017eavaju\u0107i braniocima razlikovanje legitimnog od zlonamjernog saobra\u0107aja. Raspore\u0111ivanje ugra\u0111enog <em>Python<\/em> runtime predstavlja klju\u010dnu komponentu lanca napada, jer omogu\u0107ava izvr\u0161avanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih podataka<\/a> bez izazivanja sumnje.<\/p>\n<p>Modularni dizajn <em>VOID#GEIST<\/em> zlonamjernog softvera omogu\u0107ava zlonamjernim akterima isporuku vi\u0161e <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanaca<\/a> za udaljeni pristup (eng. <em>remote access trojan &#8211; RAT<\/em>), me\u0111u kojima su <em><a href=\"https:\/\/sajberinfo.com\/en\/2023\/05\/02\/xworm-rat-se-siri-preko-elektronske-poste\/\" target=\"_blank\" rel=\"nofollow noopener\">XWorm<\/a>, <a href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/10\/asyncrat-zloupotrebljava-javascript\/\" target=\"_blank\" rel=\"nofollow noopener\">AsyncRAT<\/a><\/em> i <a href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/17\/xeno-rat-zlonamjerni-softver-otvorenog-koda\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Xeno<\/em> <em>RAT<\/em><\/a>. Ova prilagodljivost im daje mogu\u0107nost da mijenjaju taktike u skladu sa promjenama bezbjednosnih kontrola ili pojavom novih zlonamjernih mogu\u0107nosti. Ponovljeni obrazac ubrizgavanja dodatno u\u010dvr\u0161\u0107uje modularnu arhitekturu okvira, \u010dine\u0107i ga sna\u017enim pokazateljem pona\u0161anja za otkrivanje.<\/p>\n<p>Upotreba <em>TryCloudflare<\/em> domena za isporuku zlonamjernih podataka unosi dodatni sloj slo\u017eenosti u lanac napada. Zlonamjerni akteri lako mogu da stvore i upravljaju ovim domenima, \u0161to im omogu\u0107ava brzu promjenu infrastrukture kao odgovor na bezbjednosne mjere ili akcije sprovo\u0111enja zakona. Ovakva pokretljivost daje operaterima <em>VOID#GEIST<\/em> zlonamjernog softvera sposobnost da odr\u017ee visok nivo postojanosti na ugro\u017eenim sistemima.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Proces_napada\"><\/span><strong>Proces napada<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Funkcionisanje kampanje <em>VOID#GEIST<\/em> zapo\u010dinje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>porukama koje sadr\u017ee skriptu preuzetu sa <em>TryCloudflare<\/em> domena. Ona se izvr\u0161ava bez potrebe za dodatnim ovla\u0161\u0107enjima, koriste\u0107i prava trenutno prijavljenog korisnika. Ovakav pristup omogu\u0107ava da se zlonamjerni k\u00f4d neprimjetno uklopi u uobi\u010dajene administrativne radnje i da se uspostavi prvi oslonac za dalji razvoj napada. Skripta se prikazuje kao bezazleni zadatak, dok u pozadini prikriva stvarnu namjeru \u2013 postepeno ukorjenjivanje u sistem.<\/p>\n<p><em>Phishing<\/em> kao metoda ulaska nije novost, ali u ovom slu\u010daju skripta je oblikovana da izbjegne podizanje ovla\u0161tenja. Time se jasno pokazuje da cilj u po\u010detnoj fazi nije trenutno ru\u0161enje bezbjednosnih mehanizama, ve\u0107 tiho ukorenjivanje. Dodatno, kori\u0161tenje <em>PowerShell<\/em> komandi sa skrivenim prozorom spre\u010dava da korisnik ili odbrambeni mehanizmi primijete aktivnost. Ovakva nevidljivost nagla\u0161ava sposobnost napada da se prilagodi i ostane neotkriven.<\/p>\n<p>Nakon uspostavljanja oslonca, kampanja prelazi na tehni\u010dku sr\u017e \u2013 modularni dizajn. Sistem preuzima arhivu koja sadr\u017ei legitimno <em>Python<\/em> okru\u017eenje, pokreta\u010dku skriptu i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> zlonamjerne k\u00f4dove. Time se elimini\u0161e zavisnost od postoje\u0107ih instalacija i posti\u017ee potpuna samostalnost u radu. Upotreba zvani\u010dnog <em>Python<\/em> paketa dodatno doprinosi prividu legitimnosti, dok zlonamjernim akterima pru\u017ea mogu\u0107nost da djeluju u razli\u010ditim okru\u017eenjima bez ograni\u010denja.<\/p>\n<p>Modularnost se ogleda i u na\u010dinu izvr\u0161avanja. Zlonamjerni k\u00f4dovi se ubrizgavaju direktno u radnu memoriju koriste\u0107i naprednu tehniku asinhronog poziva u procesu <em>explorer.exe<\/em>. Ovaj pristup, poznat kao izvr\u0161avanje bez datoteka, \u010dini tradicionalne <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusne alate<\/a> gotovo nemo\u0107nim, jer nema fizi\u010dkih tragova koje bi mogli da analiziraju. Svaki od trojanaca \u2013 <em>XWorm, Xeno RAT<\/em> i <em>AsyncRAT<\/em> \u2013 ubacuje se u memoriju na isti na\u010din, ali svaki ima razli\u010ditu ulogu: <em>XWorm<\/em> slu\u017ei za daljinsku kontrolu i \u0161irenje, <em>Xeno RAT<\/em> za prikupljanje podataka i nadzor, dok <em>AsyncRAT<\/em> omogu\u0107ava dugotrajno prisustvo i vezu sa komandnim serverom. <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0160ifrovanje<\/a> dodatno ote\u017eava otkrivanje, jer prikriva sadr\u017eaj i funkciju svakog od njih.<\/p>\n<p>Upotreba legitimnih binarnih datoteka i alata tokom svih faza stvara privid normalnog rada. Ova strategija ote\u017eava odbranu, jer se granica izme\u0111u uobi\u010dajenih i zlonamjernih aktivnosti bri\u0161e. Na taj na\u010din <em>VOID#GEIST<\/em> uspijeva da ostane neprimjetan, dok se svaka faza pa\u017eljivo nadovezuje na prethodnu i priprema teren za sljede\u0107i korak u ugro\u017eavanju ciljanog sistema.<\/p>\n<p>Va\u017eno je naglasiti da se cio proces \u2013 od prvog <em>phishing<\/em> elektronske po\u0161te do potpune kontrole \u2013 oslanja na dijelove koji sami po sebi izgledaju bezopasno. Tek kada se pove\u017eu u cjelinu, otkriva se prava namjera. Ovakva modularnost omogu\u0107ava <em>VOID#GEIST<\/em> zlonamjernom softveru da se prilago\u0111ava i menija u skladu sa bezbjednosnim mjerama koje poku\u0161avaju da ga zaustave.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mehanizam_postojanosti\"><\/span><strong>Mehanizam postojanosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>VOID#GEIST<\/em> obezbje\u0111uje trajno prisustvo na inficiranom ure\u0111aju koriste\u0107i ve\u0107 postoje\u0107e mogu\u0107nosti <em>Windows<\/em> sistema. Umjesto izmjene sistemskih registara ili dodavanja novih zadataka, ubacuje pomo\u0107nu skriptu u korisni\u010dki <em>Startup<\/em> direktorijum. Tako se oslanja na prirodno pona\u0161anje sistema \u2013 svaki put kada se korisnik prijavi, skripta se pokre\u0107e automatski i zlonamjerni softver ostaje aktivan.<\/p>\n<p>Skripta se preuzima sa servera pod kontrolom zlonamjernog aktera, bez ikakvih obavje\u0161tenja ili poruka vidljivih korisniku. Kada se jednom smjesti u <em>Startup<\/em> direktorijum, postaje dio uobi\u010dajenog procesa pokretanja ra\u010dunara. Ovakav na\u010din rada omogu\u0107ava da <em>VOID#GEIST<\/em> ostane prisutan bez izazivanja sumnje.<\/p>\n<p>Va\u017eno je naglasiti da sve funkcioni\u0161e u okviru prava prijavljenog korisnika. Time se izbjegava potreba za dodatnim ovla\u0161\u0107enjima i pokretanjem bezbjednosnih upozorenja. Upravo ta odluka da se ostane u korisni\u010dkom okviru smanjuje tragove i ote\u017eava stru\u010dnjacima razlikovanje normalnih procesa od zlonamjernih.<\/p>\n<p><em>Startup<\/em> direktorijum, smje\u0161ten u korisni\u010dkom profilu, postaje klju\u010dna ta\u010dka za odr\u017eavanje postojanosti. Skripta u njemu izgleda kao dio sistema, ali zapravo slu\u017ei da zlonamjerni softver ostane aktivan i nakon ponovnog pokretanja ra\u010dunara. Na taj na\u010din <em>VOID#GEIST<\/em> koristi ono \u0161to je ve\u0107 ugra\u0111eno u <em>Windows,<\/em> ali ga preusmjerava u svoju korist.<\/p>\n<p>Ovakav pristup zlonamjernim akterima donosi sigurnost da \u0107e njihov k\u00f4d uvijek biti pokrenut, a istovremeno smanjuje mogu\u0107nost da ga bezbjednosni alati prepoznaju. Postojanost <em>VOID#GEIST<\/em> zlonamjernog softvera ne zasniva se na slo\u017eenim trikovima, ve\u0107 na vje\u0161tom kori\u0161tenju postoje\u0107ih funkcionalnosti sistema, \u0161to ga \u010dini dugotrajnim i te\u0161ko uo\u010dljivim.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"C2_Komunikacija\"><\/span><strong><em>C2<\/em> Komunikacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Komandno\u2011upravlja\u010dka infrastruktura oslanja se na <em>HTTP<\/em> protokol kako bi se prikrila u uobi\u010dajenom mre\u017enom saobra\u0107aju. Ovakav pristup ote\u017eava razlikovanje izme\u0111u redovnih i zlonamjernih aktivnosti, jer se komunikacija odvija kroz kanale koji izgledaju kao dio svakodnevnih administrativnih procesa. Tek pa\u017eljivom analizom mo\u017ee se uo\u010diti da iza tih signala stoji organizovan napadni mehanizam.<\/p>\n<p>U ranim fazama infekcije razmjena podataka sa <em>C2<\/em> infrastrukturom ostaje ograni\u010dena na kratke signale potvrde. Ti signali \u0161alju se preko <em>HTTP<\/em> zahtjeva i slu\u017ee da potvrde uspje\u0161no izvr\u0161ene korake. Njihova jednostavnost i mali obim \u010dine ih te\u0161kim za otkrivanje, jer se uklapaju u normalan tok mre\u017enih operacija.<\/p>\n<p>Zavr\u0161ni korak infekcije podrazumijeva slanje <em>HTTP POST<\/em> zahtjeva sa oznakom uspje\u0161nosti prema serverima pod kontrolom zlonamjernog aktera. Ovaj signal potvr\u0111uje da je \u0161ifrovani sadr\u017eaj otpakovan, da su mehanizmi postojanosti uspostavljeni i da je sistem dostupan za dalju kontrolu. Na taj na\u010din zlonamjerni akter dobija pregled stanja kampanje bez potrebe za opse\u017enim komandnim kanalima.<\/p>\n<p>Kori\u0161tenje servisa poput <em>TryCloudflare<\/em> dodatno ote\u017eava odbranu, jer omogu\u0107ava brzo mijenjanje adresa i time izbjegava stati\u010dke metode blokiranja. Ovakva dinamika infrastrukture \u010dini da mre\u017eni trag ostane mali, dok zlonamjerni akter zadr\u017eava potpunu kontrolu nad ugro\u017eenim sistemima.<\/p>\n<p>Kombinacija prividno obi\u010dnog <em>HTTP<\/em> saobra\u0107aja, kratkih signala potvrde i pokretne infrastrukture stvara komunikacioni kanal koji je istovremeno diskretan i pouzdan. Upravo ta sposobnost da se uklopi u svakodnevne mre\u017ene tokove daje napadu snagu da zaobi\u0111e tradicionalne mjere za\u0161tite i da ostane prisutan du\u017ee vrijeme.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>VOID#GEIST<\/em> mijenja osnovne pretpostavke o vremenu i opsegu otkrivanja prijetnji. Kada se zlonamjerni k\u00f4d uklapa u uobi\u010dajene procese i koristi legitimne izvr\u0161ne datoteke i ugra\u0111ena okru\u017eenja, alati zasnovani na prepoznavanju datoteka i potpisa gube pouzdanost, pa se period neopa\u017eenog prisustva produ\u017eava. Organizacije tako mogu dugo raditi s la\u017enim osje\u0107ajem sigurnosti dok napad tiho prikuplja informacije i \u0161iri se unutar mre\u017ee.<\/p>\n<p>Uticaj na upravljanje incidentima postaje dublji i skuplji. Analize zahtijevaju fokus na radnu memoriju, korelaciju mre\u017enih signala i pra\u0107enje pona\u0161anja procesa, umjesto brzih skeniranja diska. Timovi za odgovor moraju razviti nove procedure i alate za otkrivanje aktivnosti koje ne ostavljaju tragove na disku, \u0161to pove\u0107ava potrebu za stru\u010dnim kadrom i produ\u017eava vrijeme oporavka sistema.<\/p>\n<p>Sposobnost <em>VOID#GEIST<\/em> zlonamjernog softvera da zamijeni komponente i isporu\u010di razli\u010dite trojance, poput <em>XWorm, AsyncRAT<\/em> i <em>Xeno RAT,<\/em> \u0161iri spektar mogu\u0107ih posljedica. Kombinacija nadzora, kra\u0111e podataka i trajne veze stvara vi\u0161eslojnu prijetnju koja mo\u017ee istovremeno ciljati intelektualno vlasni\u0161tvo, korisni\u010dke podatke i infrastrukturu. Takva raznolikost ote\u017eava predvi\u0111anje toka napada i prisiljava odbranu da prati vi\u0161e scenarija u isto vrijeme.<\/p>\n<p>Mre\u017eni uticaj je zna\u010dajan zbog upotrebe pokretne infrastrukture i prikrivenih <em>HTTP<\/em> komunikacija. Statisti\u010dke i stati\u010dne metode blokiranja gube efikasnost kada se adrese brzo mijenjaju i kada su signali mali i sli\u010dni legitimnom prometu. Posljedica je da se kampanje \u0161ire br\u017ee nego \u0161to se mogu a\u017eurirati liste blokiranja, pa raste broj pogo\u0111enih sistema prije nego \u0161to odbrana uspije reagovati.<\/p>\n<p>Na nivou povjerenja i operativnih praksi, prisustvo <em>VOID#GEIST<\/em> poti\u010de preispitivanje uobi\u010dajenih radnji i alata. Kada se ugra\u0111ene funkcije operativnog sistema koriste za odr\u017eavanje prisustva i komunikaciju, raste nesigurnost u standardne procedure i pritisak za promjenu na\u010dina nadzora i upravljanja. Taj pomak otvara prostor za dugotrajan period prilago\u0111avanja, tokom kojeg ranjivosti ostaju iskori\u0161tavane.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>VOID#GEIST<\/em> postavlja pitanje \u0161ta se smatra normalnim u radu informacionih sistema. Njegova sposobnost da se uklopi u svakodnevne procese mijenja o\u010dekivanja i unosi oprez u rutine koje su ranije smatrane bezopasnim.<\/p>\n<p>Promjena fokusa u praksi zna\u010di da se pa\u017enja preusmjerava na analizu radne memorije, korelaciju mre\u017enih signala i pona\u0161anje procesa. To zahtijeva druga\u010diji skup znanja i alata, du\u017ee istrage i ve\u0107e anga\u017eovanje stru\u010dnjaka, \u0161to direktno uti\u010de na raspored i optere\u0107enje timova za bezbjednost.<\/p>\n<p>Modularnost i pokretna infrastruktura stvaraju okru\u017eenje u kojem je tok aktivnosti te\u0161ko pratiti i predvidjeti. Brze promjene adresa i diskretna komunikacija smanjuju efikasnost stati\u010dnih pravila, pa se nadzor mora oslanjati na obrasce i pona\u0161anje umjesto na potpise.<\/p>\n<p>Povjerenje u uobi\u010dajene procedure i ugra\u0111ene funkcije sistema postaje upitno. Ono \u0161to je ranije smatrano sigurnim sada tra\u017ei dodatnu provjeru i druga\u010diji pristup, pa se organizacije suo\u010davaju s potrebom da redefini\u0161u kriterije za sumnjivo i prilagode interne tokove rada.<\/p>\n<p>Prisustvo <em>VOID#GEIST<\/em> zlonamjernog softvera ostavlja otvoren prostor za dalji razvoj praksi i alata. Promjene u tehnici napada i nove informacije koje se pojavljuju tokom istraga zna\u010de da \u0107e odgovori nastaviti da evoluiraju, bez jasne ta\u010dke u kojoj se mo\u017ee re\u0107i da je proces zavr\u0161en.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za\u0161tita od <em>VOID#GEIST<\/em> zlonamjernog softvera zahtijeva sveobuhvatan pristup koji obuhvata sna\u017ene mjere sigurnosti, stalno pra\u0107enje i dosljedno pridr\u017eavanje provjerenih pravila. U nastavku slijede preporuke koje mogu pomo\u0107i u smanjenju rizika:<\/p>\n<ol>\n<li>Organizacije moraju obezbijediti da imaju uspostavljene djelotvorne bezbjednosne kontrole, uklju\u010duju\u0107i za\u0161titne zidove (eng. <em>firewall),<\/em> sisteme za otkrivanje upada i antivirusne softvere, radi sprje\u010davanja po\u010detne infekcije zlonamjernim softverom <em>VOID#GEIST.<\/em><\/li>\n<li>Primijeniti alate za analizu pona\u0161anja koji mogu otkriti neuobi\u010dajene obrasce aktivnosti koji ukazuju na mogu\u0107i napad. Ovo uklju\u010duje pra\u0107enje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a>, eskalacije privilegija i mehanizama postojanosti u okviru korisni\u010dkih konteksta.<\/li>\n<li>Nakon identifikacije zlonamjernih izvr\u0161avanja skripti, <em>Python<\/em> okru\u017eenja ili pokazatelja u memoriji, odmah izolovati i sanirati pogo\u0111ene krajnje ta\u010dke radi sprje\u010davanja dalje \u0161tete.<\/li>\n<li>Obezbijediti da se softver preuzima samo iz pouzdanih izvora i primijeniti politiku dozvoljenih aplikacija radi sprje\u010davanja izvr\u0161avanja neovla\u0161tenih softvera.<\/li>\n<li>Organizacije moraju obezbijediti da se njihovi dobavlja\u010di pridr\u017eavaju robusnih bezbjednosnih praksi, uklju\u010duju\u0107i bezbjedne \u017eivotne cikluse razvoja softvera (eng. <em>Software Development Life Cycles \u2013 SDLC<\/em>), radi ubla\u017eavanja rizika u lancu snabdijevanja povezanih sa <em>VOID#GEIST<\/em> zlonamjernim softverom.<\/li>\n<li>Redovno a\u017eurirati okvire i politike uskla\u0111enosti radi odgovora na prijetnje koje se razvijaju, poput <em>VOID#GEIST<\/em> kampanje, obezbje\u0111uju\u0107i da pokrivaju pra\u0107enje bo\u010dnog kretanja, eskalacije privilegija i mehanizme postojanosti u okviru korisni\u010dkih konteksta.<\/li>\n<li>Razviti i primijeniti robusne <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">planove odgovora na sajber prijetnje<\/a> koji uklju\u010duju postupke za identifikaciju, obuzdavanje, uklanjanje, oporavak i u\u010denje iz bezbjednosnih incidenata povezanih sa <em>VOID#GEIST<\/em> zlonamjernim softverom.<\/li>\n<li>Sprovoditi redovne bezbjednosne revizije radi identifikacije ranjivosti u sistemima, mre\u017eama ili aplikacijama koje bi zlonamjerni akteri mogli iskoristiti koriste\u0107i <em>VOID#GEIST<\/em><\/li>\n<li>Obezbijediti obuku za zaposlene i korisnike o naprednim prijetnjama poput <em>VOID#GEIST<\/em> zlonamjernog softvera, nagla\u0161avaju\u0107i zna\u010daj budnosti pri susretu sa sumnjivim aktivnostima ili nepoznatim softverom.<\/li>\n<li>Nadgledati sisteme i mre\u017ee radi pokazatelja u memoriji povezanih sa <em>VOID#GEIST<\/em> zlonamjernim softverom, poput neuobi\u010dajenih izvr\u0161avanja skripti ili <em>Python<\/em> okru\u017eenja.<\/li>\n<li>Primijeniti robusne postupke pravljenja <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> i oporavka radi obezbje\u0111enja brzog i efikasnog vra\u0107anja podataka u slu\u010daju bezbjednosnog incidenta povezanog sa <em>VOID#GEIST<\/em> zlonamjernim softverom.<\/li>\n<li>Sprovoditi redovne vje\u017ebe penetracijskog testiranja radi identifikacije ranjivosti u sistemima, mre\u017eama ili aplikacijama prije nego \u0161to ih zlonamjerni akteri iskoriste koriste\u0107i <em>VOID#GEIST<\/em> zlonamjerni softver.<\/li>\n<li>Primijeniti bezbjedne prakse konfiguracije za sve softverske i hardverske komponente IT infrastrukture organizacije radi sprje\u010davanja zloupotrebe od strane zlonamjernog aktera koriste\u0107i <em>VOID#GEIST<\/em> zlonamjerni softver.<\/li>\n<li>Primijeniti robusne prakse kontrole pristupa radi obezbje\u0111enja da samo ovla\u0161\u0107eno osoblje ima pristup osjetljivim podacima i sistemima unutar <em>IT<\/em> infrastrukture organizacije.<\/li>\n<\/ol>\n<p>Za\u0161tita od <em>VOID#GEIST<\/em> zlonamjernog softvera zahtijeva sveobuhvatan pristup koji uklju\u010duje robusne bezbjednosne mjere, budno nadgledanje, pridr\u017eavanje najboljih praksi i stalno u\u010denje iz prijetnji koje se razvijaju. Primjenom ovih preporuka, organizacije mogu zna\u010dajno unaprijediti sposobnosti otkrivanja i odgovora na napredne postojane prijetnje poput <em>VOID#GEIST<\/em> zlonamjernog softvera.<\/p>","protected":false},"excerpt":{"rendered":"<p>VOID#GEIST zlonamjerni softver koristi napredni vi\u0161estepeni lanac napada, koji se odlikuje sposobno\u0161\u0107u da se besprijekorno uklopi u legitimne aktivnosti korisnika i istovremeno izbjegne tradicionalne bezbjednosne kontrole, pokazuje istra\u017eivanje sigurnosnih istra\u017eiva\u010da Securonix Threat Research. VOID#GEIST&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":9073,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4122,3439,2817,3389,999,4120,4123,4119,4118,4125,4121,4124,4117,4116,76],"class_list":["post-9072","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bez-datoteka-upravljanje","tag-c2-komunikacija","tag-cyber-attack","tag-digitalna-bezbjednost","tag-malware-campaign","tag-modularni-okvir","tag-napad-na-memoriju","tag-phishing-prijetnja","tag-skriveni-procesi","tag-stealth-threat","tag-trajna-prisutnost","tag-trycloudflare","tag-visestepeni-napad","tag-voidgeist","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=9072"}],"version-history":[{"count":8,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9072\/revisions"}],"predecessor-version":[{"id":9081,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9072\/revisions\/9081"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/9073"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=9072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=9072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=9072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}