資安研究人員揭露了一起複雜的多階段惡意軟體攻擊活動,
利用批次指令碼(batch script)部署多種加密的遠端存取木馬(RAT),包括 XWorm、AsyncRAT 和 Xeno RAT。
資安廠商 Securonix 將這個隱密的攻擊鏈命名為
VOID#GEIST。攻擊流程分為多個階段:首先使用經過混淆處理的批次指令碼部署第二階段批次指令碼,並載入合法的嵌入式 Python 執行環境。接著解密加密的 shellcode,透過早鳥非同步程序呼叫注入(Early Bird APC injection)技術,將 shellcode 直接注入到多個 explorer.exe 程序的記憶體中執行。
研究人員在技術報告中指出,現代惡意軟體攻擊已從獨立執行檔轉向複雜的腳本式傳遞框架,能夠緊密模擬合法使用者行為。攻擊者不再部署傳統的 PE 執行檔,而是運用模組化管道,包括用於協調的批次指令碼、用於隱密部署的 PowerShell、提供可攜性的合法嵌入式執行環境,以及直接在記憶體中執行的原始 shellcode,藉此達成持續控制。
無檔案執行機制降低偵測率
這種無檔案執行機制大幅降低了基於磁碟的偵測機會,讓威脅行為者能夠在受害系統中運作而不觸發資安警報。此外,這些個別階段在單獨檢視時看似無害,與一般的管理活動相似。
攻擊始於透過網路釣魚郵件散布的批次指令碼,該指令碼從 TryCloudflare 網域取得。指令碼啟動後刻意避免提升權限,僅利用目前登入使用者的權限建立初始據點,同時融入看似無害的管理操作中。
初始階段會以全螢幕模式啟動 Google Chrome,顯示誘餌 PDF 檔案(通常是財務文件或發票)來分散受害者注意力。同時在背景執行中,惡意軟體啟動 PowerShell 指令重新執行原始批次指令碼,並使用 -WindowStyle Hidden 參數隱藏主控台視窗。
持續性機制設計降低偵測痕跡
為確保系統重新開機後仍能持續運作,惡意軟體會在 Windows 使用者的啟動目錄中放置輔助批次指令碼,使其在受害者每次登入時自動執行。研究人員指出,這種持續性機制完全在目前使用者的權限範圍內運作,不會修改全系統的登錄檔項目、建立排程工作或安裝服務,因此降低了觸發權限提升提示或登錄檔監控警報的可能性。
下一階段,惡意軟體連線至 TryCloudflare 網域下載額外酬載。這些酬載以 ZIP 壓縮檔形式提供,包含多個檔案:
- runn.py:Python 載入器指令碼,負責解密加密的 shellcode 酬載模組並注入記憶體
- new.bin:XWorm 的加密 shellcode 酬載
- xn.bin:Xeno RAT 的加密 shellcode 酬載
- pul.bin:AsyncRAT 的加密 shellcode 酬載
- a.json、n.json 和 p.json:包含解密金鑰的檔案,供 Python 載入器在執行時期動態解密 shellcode
嵌入合法Python執行環境提升攻擊成功率
檔案解壓縮後,攻擊序列會直接從 python.org 部署合法的嵌入式 Python 執行環境。這個步驟帶來多項優勢:
首先消除了對系統的依賴性,使惡意軟體即使在未安裝 Python 的端點上也能繼續運作。
Securonix 指出,從攻擊者角度來看,此階段的目標是可攜性、可靠性與隱密性。透過在暫存目錄中嵌入合法的直譯器,惡意軟體將自身轉變為完全獨立的執行環境,能夠在不依賴外部系統元件的情況下解密並注入酬載模組。
攻擊的主要目標是利用 Python 執行環境啟動 runn.py,然後使用早鳥 APC 注入技術解密並執行 XWorm 酬載。惡意軟體也會利用合法的微軟執行檔 AppInstallerPythonRedirector.exe 來呼叫 Python 並啟動 Xeno RAT。在最後階段,Python 載入器使用相同的注入機制啟動 AsyncRAT。
感染鏈的最後階段,惡意軟體會向攻擊者控制的 C2 基礎架構(託管於 TryCloudflare)傳送最小化 HTTP 信標,以確認入侵成功。目前尚不清楚此次攻擊的具體目標對象,以及是否有成功入侵的案例。
研究人員表示,這種重複的注入模式強化了框架的模組化架構。攻擊者不傳遞單一的大型酬載,而是逐步部署元件,藉此提升靈活性與韌性。從偵測角度來看,短時間內對 explorer.exe 進行重複程序注入是一個強烈的行為指標,可用於關聯攻擊的各個階段。
本文轉載自 TheHackerNews。