Сложная многоступенчатая кампания VOID#GEIST распространяет XWorm, AsyncRAT и Xeno RAT через скрипты
Исследователи кибербезопасности раскрыли сложную многоступенчатую вредоносную операцию, использующую обфусцированные пакетные скрипты в качестве основного способа доставки. Кампания, названная специалистами Securonix Threat Research VOID#GEIST, в конечном итоге развертывает зашифрованные полезные нагрузки для печально известных троянов удаленного доступа, таких как XWorm, AsyncRAT и Xeno RAT. Цепочка атаки разработана для имитации легитимной административной активности, начиная со скрипта, загружаемого с домена TryCloudflare и распространяемого через фишинговые письма.
Техническое исполнение отличается значительной скрытностью. Первоначальный скрипт организует развертывание второго пакетного файла, размещает легитимную встроенную среду выполнения Python и расшифровывает зашифрованный шелл-код. Этот шелл-код затем внедряется непосредственно в память с использованием техники под названием Early Bird Asynchronous Procedure Call инъекция, нацеливаясь на отдельные экземпляры процесса "explorer.exe". Такой бесфайловый подход минимизирует следы на диске, значительно сокращая возможности для традиционного обнаружения.
Эксперты подчеркивают, что эта кампания отражает общую тенденцию, когда злоумышленники отходят от использования автономных исполняемых файлов. Вместо этого они внедряют модульные, скриптовые фреймворки, которые сливаются с нормальными системными операциями. Используя пакетные скрипты для оркестрации, PowerShell для скрытности и легитимные среды выполнения для переносимости, угрозовые акторы могут действовать постоянно в скомпрометированном окружении, не вызывая стандартных сигналов безопасности.
Начальная фаза заражения намеренно избегает эскалации привилегий, работая с разрешениями вошедшего в систему пользователя, чтобы сохранять низкий профиль. Каждый компонент атаки выглядит безобидным изолированно, напоминая рутинные административные задачи, что позволяет вредоносной программе прочно закрепиться в системе перед расшифровкой и выполнением финальных нагрузок троянов для получения полного контроля.
Данная методика представляет серьезную проблему для защитных решений, ориентированных на сигнатуры файлов. Обнаружение требует поведенческого анализа, отслеживания аномальной активности скриптов и мониторинга подозрительных действий в памяти, что подчеркивает необходимость комплексного многоуровневого подхода к безопасности.
