VOID#GEIST
A Securonix Threat Research jelentése a VOID#GEIST malware-keretrendszert mutatja be, amely egy többlépcsős Python-alapú loader, és kifejezetten a rejtett, fileless fertőzések megvalósítására készült. A kampány lényege, hogy a támadók nem hagyományos futtatható fájlokat telepítenek, hanem szkriptekből és memóriában futó shellcode-ból álló moduláris támadási láncot használnak, ami jelentősen megnehezíti a hagyományos antivírus-detektálást.
A fertőzési folyamat egy obfuszkált batch script futtatásával indul, amely a teljes támadási lánc vezérlőelemeként működik. A script több titkosított payloadot tölt le és készít elő, majd további komponenseket telepít a rendszerre. A perzisztenciát egy második batch fájl biztosítja, amelyet a Windows Startup mappájába helyeznek, így a malware minden bejelentkezéskor automatikusan elindul.
A malware legitim Python-környezetet tölt le a python.org oldalról, és egy beágyazott Python runtime segítségével futtatja a további komponenseket. Ez a módszer lehetővé teszi a támadók számára, hogy a célrendszer konfigurációjától függetlenül működő, önálló futtatási környezetet hozzanak létre. A Python-környezet segítségével a támadási lánc titkosított shellcode-csomagokat tölt be és dekódol.
A kampány során több ismert RAT család shellcode-változatait azonosították, köztük XWorm, AsyncRAT és XenoRAT komponenseket. Ezeket titkosított blobok formájában szállítják, majd futás közben dekódolják külön JSON fájlokban tárolt XOR kulcsok segítségével. A payloadok nem kerülnek hagyományos futtatható fájl formájában a lemezre, hanem közvetlenül memóriában aktiválódnak.
A malware Early Bird APC injection technikát használ, amely során a dekódolt shellcode-ot egy újonnan létrehozott, felfüggesztett explorer.exe folyamatba injektálják. Mivel a kód egy legitim Windows folyamatban fut, és nem jelenik meg önálló futtatható fájlként a lemezen, a fertőzés jelentősen nehezebben észlelhető hagyományos védelmi rendszerekkel. A különböző RAT-komponenseket külön explorer.exe példányokba injektálják, ami növeli a művelet stabilitását és túlélőképességét.
A támadási lánc végén a malware egy rövid státuszjelzést küld a támadók infrastruktúrájára, amelyet a kutatók szerint a TryCloudflare szolgáltatáson keresztül hostoltak. Ez a jelzés visszaigazolja az operátorok számára, hogy a fertőzés sikeresen megtörtént, és a rendszer készen áll a további vezérlésre.
