SHADOW#REACTOR
A Securonix elemezte a SHADOW#REACTOR nevű, új malverkampányt, amely egy többlépcsős, kifinomult támadási láncot alkalmaz a Remcos RAT terjesztésére. A Remcos eredetileg legitim távoli adminisztrációs eszközként került forgalomba, de mára a kiberbűnözők kedvelt eszközévé vált a távoli rendszerátvételhez és adatlopáshoz. A kampány különlegessége, hogy a támadók hagyományos és modern technikákat ötvözve, szöveges állományokon keresztül, memóriában futtatott kódokkal és legitim Windows eszközök (LOLBins, Living-Off-The-Land Binaries) visszaélésével próbálják elkerülni a felfedezést és az elemzést.
A támadás indítása egy elrejtett VBS szkripttel kezdődik, amelyet a Windows wscript.exe eszköze futtat le. Ezután egy PowerShell letöltő lép működésbe, amely távoli szerverről töredékes, szöveges payload-okat hív le. Ezek a töredékek később egy .NET Reactorral védett, memóriában futó loader által dekódolódnak, és egy végső Remcos konfigurációt töltnek le. A támadási lánc során a támadók a MSBuild.exe legitim Windows eszközt használják fel a Remcos RAT végső futtatására, így a káros kód egy teljesen normális rendszertevékenységnek tűnik, nehezítve a felfedezést és a védekezést.
A SHADOW#REACTOR kampány különösen veszélyes, mert a támadók több rétegű obfuszkációt, anti-debugging és anti-virtualizációs ellenőrző mechanizmusokat is beépítenek, hogy elkerüljék a biztonsági megoldások és a homokozós elemzések felfigyelését. A szöveges állományokon keresztül történő payload-továbbítás és a memóriában történő futtatás azt jelenti, hogy a támadás nyomai minimálisak, és nehezen követhetők. A kutatók szerint a támadók szándékosan választották ezt a módszert, hogy nehézzé tegyék a statikus szignatúrák és a hagyományos antivírus megoldások számára a felfedezést.A Remcos RAT végső célja a támadók számára a távoli rendszer teljes átvétele, adatok lopása, és további káros tevékenységek végrehajtása. A kampány eddig nem köthető konkrét kiberbűnöző csoport vagy államháttérhez, de a technikák és az eszközök arra utalnak, hogy tapasztalt, jól szervezett támadók állhatnak a háttérben.
