Новое скрытое вредоносное ПО DarkWatchman скрывается в реестре Windows

32
Азиатское подразделение медиагиганта Nikkei пострадало от атаки с использованием вымогательского ПО

Новое вредоносное ПО под названием DarkWatchman появилось в подполье киберпреступлений, и это легкий и высокопроизводительный JavaScript RAT (троян для удаленного доступа) в сочетании с кейлоггером C #.

Согласно техническому отчету исследователей Prevailion, новый RAT используется русскоязычными актерами, которые ориентированы в основном на российские организации.

Первые признаки существования DarkWatchman появились в начале ноября, когда злоумышленник начал распространять вредоносное ПО через фишинговые электронные письма с вредоносными вложениями в формате ZIP.

Эти вложения ZIP-файлов содержат исполняемый файл, использующий значок для имитации текстового документа. Этот исполняемый файл представляет собой самоустанавливающийся архив WinRAR, который установит RAT и кейлоггер.

Если он открыт, пользователю отображается всплывающее сообщение-приманка с надписью «Неизвестный формат», но на самом деле полезные данные были установлены в фоновом режиме.

Скрытая безфайловая RAT

DarkWatchman — это очень легкая вредоносная программа, размер JavaScript RAT составляет всего 32 КБ, а скомпилированная программа занимает всего 8,5 КБ.

Он использует большой набор бинарных файлов, скриптов и библиотек, «живущих на земле», а также включает скрытые методы передачи данных между модулями.

Интересным аспектом DarkWatchman является использование механизма безфайлового хранения реестра Windows для кейлоггера. 

Вместо того, чтобы хранить кейлоггер на диске, создается запланированная задача для запуска DarkWatchman RAT каждый раз, когда пользователь входит в Windows.

После запуска DarkWatchmen выполнит сценарий PowerShell, который компилирует кейлоггер с помощью команды .NET CSC.exe и запускает его в память.

«Кейлоггер распространяется как обфусцированный исходный код C #, который обрабатывается и сохраняется в реестре как команда PowerShell в кодировке Base64. Когда RAT запускается, он выполняет этот сценарий PowerShell, который, в свою очередь, компилирует кейлоггер (с использованием CSC) и выполняет его «, — пояснили в своем отчете исследователи Prevailion Мэтт Стаффорд и Шерман Смит.

«Сам кейлоггер не взаимодействует с C2 и не записывает на диск. Вместо этого он записывает свой журнал ключей в раздел реестра, который он использует в качестве буфера. Во время своей работы RAT очищает этот буфер перед передачей записанных нажатий клавиш на C2-сервер «.

Таким образом, реестр используется не только как место для скрытия закодированного исполняемого кода, но и как временное место для хранения украденных данных до тех пор, пока они не будут отфильтрованы на C2.

Что касается коммуникации и инфраструктуры C2, субъекты DarkWatchman используют DGA (алгоритмы генерации доменов) с заполненным списком из 10 элементов для генерации до 500 доменов ежедневно.

Это дает им отличную операционную устойчивость и в то же время делает очень сложным мониторинг и анализ обмена данными.

Функциональные возможности DarkWatchman следующие:

  • Запускать EXE-файлы (с возвращаемым выводом или без него)
  • Загрузить файлы DLL
  • Выполнять команды в командной строке
  • Выполнить команды WSH
  • Выполнять разные команды через WMI
  • Выполнение команд PowerShell
  • Оценить JavaScript
  • Загрузите файлы на сервер C2 с машины жертвы
  • Удаленно остановить и удалить RAT и Keylogger
  • Удаленно обновить адрес сервера C2 или время ожидания обратного вызова
  • Обновите RAT и Keylogger удаленно
  • Установите автозапуск JavaScript для запуска при запуске RAT
  • Алгоритм генерации домена (DGA) для отказоустойчивости C2
  • Если у пользователя есть права администратора, он удаляет теневые копии с помощью vssadmin.exe.

Гипотеза вымогателей

Prevailion предполагает, что DarkWatchman может быть адаптирован группами программ-вымогателей или для них, которым необходимо расширить возможности своих менее способных партнеров с помощью мощного и скрытого инструмента.

Вредоносная программа может загружать дополнительные полезные данные удаленно, поэтому ее можно использовать в качестве скрытого первого этапа заражения для последующего развертывания программы-вымогателя.

Поскольку DarkWatchman может связываться с доменами, контролируемыми субъектом, после начальной точки опоры, оператор программы-вымогателя может взять на себя управление и развернуть программу-вымогатель или обработать кражу файлов напрямую.

Такой подход снизит роль филиала до роли сетевого инфильтратора и одновременно сделает операции RaaS более клиническими и эффективными.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии