Hackers τοποθέτησαν κακόβουλο κώδικα στην νόμιμη Windows υπηρεσία, Windows Error Reporting (WER), στα πλαίσια μιας fileless malware επίθεσης. Η εισαγωγή κακόβουλου κώδικα στη συγκεκριμένη υπηρεσία στοχεύει στην αποφυγή της ανίχνευσης, σύμφωνα με ερευνητές της Malwarebytes.
Η εκμετάλλευση της υπηρεσίας WER δεν είναι μια νέα τακτική, αλλά, όπως ανέφεραν οι ερευνητές της Malwarebytes, Hossein Jazi και Jérôme Segura, αυτή η fileless malware επίθεση είναι έργο μιας άγνωστης hacking ομάδας που στοχεύει στην κατασκοπεία.
“Οι επιτιθέμενοι παραβίασαν ένα site για να φιλοξενήσουν το payload τους και χρησιμοποίησαν το CactusTorch framework για να εκτελέσουν μια fileless επίθεση, που συνοδεύεται από αρκετές τεχνικές που εμποδίζουν την ανάλυση“, εξηγεί η έκθεση.
Spear-phishing για την εγκατάσταση του payload
Η επίθεση παρατηρήθηκε για πρώτη φορά στις 17 Σεπτεμβρίου, όταν οι ερευνητές ανακάλυψαν phishing μηνύματα που περιείχαν κακόβουλο έγγραφο σε ZIP μορφή.
, στα πλαίσια μιας fileless malware){kind=link}
Τα αρχικά κακόβουλα payloads εγκαταστάθηκαν στους υπολογιστές των στόχων μέσω spear-phishing emails.
Με το άνοιγμα του εγγράφου, εκτελείται shellcode μέσω μιας κακόβουλης μακροεντολής που προσδιορίζεται ως CactusTorch VBA module, το οποίο φορτώνει ένα .NET payload κατευθείαν στη μνήμη της συσκευής Windows, που έχει πλέον μολυνθεί.
Έπειτα, το binary εκτελείται από τη μνήμη του υπολογιστή, χωρίς να αφήνει ίχνη στον σκληρό δίσκο, εισάγοντας το ενσωματωμένο shellcode στο WerFault.exe, το Windows process της υπηρεσίας WER.
Η ίδια τεχνική χρησιμοποιείται και από άλλα κακόβουλα προγράμματα (Cerber ransomware και NetWire RAT) για την αποφυγή της ανίχνευσης.
Με τον κακόβουλο κώδικα που εισάγεται στo Windows Error Reporting service thread, οι hackers ελέγχουν αν χρησιμοποιείται πρόγραμμα εντοπισμού σφαλμάτων στην συσκευή-στόχο ή εάν το payload εκτελείται σε εικονική μηχανή ή sandbox. Με λίγα λόγια, ελέγχουν αν χρησιμοποιούνται τεχνικές ανίχνευσης.
Εάν το malware αισθανθεί “αρκετά ασφαλές” για να προχωρήσει στο επόμενο βήμα, θα αποκρυπτογραφήσει και θα φορτώσει το τελικό shellcode σε ένα νέο WER thread, το οποίο θα εκτελεστεί σε ένα νέο thread.
Το τελικό malware payload που φιλοξενείται στο asia-kotoba[.]net με τη μορφή ψεύτικου favicon, θα μεταφορτωθεί και θα εισαχθεί σε μια νέα διαδικασία.
Οι ερευνητές της Malwarebytes δεν κατάφεραν να αναλύσουν το τελικό payload.
Πίσω από τη fileless malware επίθεση βρίσκεται πιθανότατα η APT32
Η Malwarebytes δεν κατάφερε να συνδέσει την επίθεση με συγκεκριμένη ομάδα. Όμως, ορισμένοι από τους δείκτες παραβίασης και τις τακτικές που παρατηρήθηκαν, δείχνουν ότι πιθανότατα πίσω από την επίθεση βρίσκεται η ομάδα κατασκοπείας APT32 (γνωστή και ως OceanLotus και SeaLotus) που υποστηρίζεται από την κυβέρνηση του Βιετνάμ. Για παράδειγμα, η APT32 συνηθίζει να χρησιμοποιεί το CactusTorch VBA module για να διανείμει παραλλαγές του Denis Rat.
Επίσης, σύμφωνα με το Bleeping Computer, για τη φιλοξενία και τη διανομή των phishing emails και των κακόβουλων payloads χρησιμοποιήθηκε ένα domain (yourrighttocompensation [.] Com) που έχει καταχωρηθεί στο Ho Chi Minh City, στο Βιετνάμ.