Cybersecurity-onderzoekers hebben details onthuld van een heimelijk op Python gebaseerd backdoor-framework genaamd DIEPE#DEUR dat wordt geleverd met mogelijkheden om permanente toegang tot stand te brengen en een breed scala aan gevoelige informatie van gecompromitteerde hosts te verzamelen.
“De inbraakketen begint met de uitvoering van een batchscript (‘install_obf.bat’) dat Windows-beveiligingscontroles uitschakelt, dynamisch een ingebedde Python-payload (‘svc.py’) extraheert en persistentie tot stand brengt via meerdere mechanismen, waaronder opstartmapscripts, registersleutels, geplande taken en optionele WMI-abonnementen”, aldus Securonix-onderzoekers Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee in een rapport gedeeld met The Hacker News.
Er wordt vastgesteld dat het batchscript wordt verspreid via traditionele benaderingen zoals phishing. Het is momenteel niet bekend hoe wijdverspreid de aanvallen zijn die de malware verspreiden en of deze infecties succesvol zijn geweest.
“Op basis van onze huidige analyse is er geen duidelijk bewijs dat suggereert dat dit malware-framework op grote schaal werd gebruikt in grootschalige of zeer actieve campagnes”, vertelde Akshay Gaikwad, senior security research engineer bij Securonix, via e-mail aan The Hacker News. “Het waargenomen gebruik ervan lijkt beperkt en enigszins gericht te zijn in plaats van breed verspreid.”
“In dit stadium hebben we geen consistente indicatoren geïdentificeerd die erop wijzen dat specifieke regio’s of industriële sectoren systematisch worden aangevallen. Gezien de modulaire aard van het raamwerk is het echter mogelijk dat verschillende bedreigingsactoren het in de loop van de tijd zouden kunnen aanpassen voor uiteenlopende gebruiksscenario’s.”
Wat de aanvalsketen opmerkelijk maakt, is dat het kern-Python-implantaat direct in het dropper-script is ingebed, van waaruit het wordt geëxtraheerd, gereconstrueerd en uitgevoerd. Dit vermindert de noodzaak om herhaaldelijk contact op te nemen met externe infrastructuur en minimaliseert de forensische voetafdruk.
Eenmaal gelanceerd brengt de malware communicatie tot stand met “bore(.)pub”, een op Rust gebaseerde tunnelingservice, waardoor de operator opdrachten kan geven die de uitvoering van opdrachten op afstand en uitgebreide bewaking vergemakkelijken. Dit omvat –
- Omgekeerde schaal
- Systeemverkenning
- Keylogging
- Klembordbewaking
- Screenshot-opname
- Webcam-toegang
- Omgevingsaudio-opname
- Verzamelen van inloggegevens van webbrowsers
- SSH-sleutelextractie
- Inloggegevens opgeslagen in Google Chrome, Mozilla Firefox en Windows Credential Manager
- Diefstal van cloudgegevens (Amazon Web Services, Google Cloud en Microsoft Azure)
Het gebruik van een openbare TCP-tunnelingservice voor command-and-control (C2) biedt verschillende voordelen: het elimineert de noodzaak voor het opzetten van een speciale infrastructuur, mengt kwaadaardig verkeer en vermijdt het inbedden van details van de server in de payload.
Tegelijkertijd bevat DEEP#DOOR een hele reeks anti-analyse- en verdedigingsontduikingsmechanismen, zoals sandbox-, debugger- en virtuele machine (VM)-detectie, AMSI en Event Tracing for Windows (ETW)-patching, NTDLL-unhooking, Microsoft Defender-manipulatie, SmartScreen-bypass, PowerShell-logboekonderdrukking, opdrachtregelwissen, tijdstempelstampen en log-clearing, om onder de radar te blijven en incidentresponsinspanningen te bemoeilijken.
Het maakt ook gebruik van meerdere persistentiemechanismen, waaronder het maken van Windows Opstartmapscripts, Registry Run-sleutels en geplande taken, terwijl het ook vertrouwt op een watchdog-mechanisme om ervoor te zorgen dat de persistentie-artefacten niet zijn verwijderd, en als dat zo is, deze automatisch opnieuw te maken, wat herstel lastig maakt.
“Het resulterende implantaat werkt als een volledig uitgeruste Remote Access Trojan (RAT) die in staat is tot persistentie op de lange termijn, spionage, zijdelingse bewegingen en post-exploitatieoperaties binnen gecompromitteerde omgevingen”, aldus Securonix. “Het implantaat geeft prioriteit aan het omzeilen van detectie en forensische zichtbaarheid door direct te knoeien met de Windows-beveiligings- en telemetriemechanismen.”
“DEEP#DOOR benadrukt de voortdurende evolutie van bedreigingsactoren in de richting van bestandsloze, scriptgestuurde inbraakframeworks die sterk afhankelijk zijn van systeemcomponenten en geïnterpreteerde talen zoals Python. Door de payload direct in de dropper in te bedden en deze tijdens runtime te extraheren, vermindert de malware de externe afhankelijkheden aanzienlijk en beperkt hij de traditionele detectiemogelijkheden.”
