Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne genaamd SCHADUW#REACTOR dat gebruik maakt van een ontwijkende, uit meerdere fasen bestaande aanvalsketen om een commercieel verkrijgbare tool voor extern beheer te leveren, genaamd Remcos RAT, en om aanhoudende, geheime toegang op afstand tot stand te brengen.
“De infectieketen volgt een strak georkestreerd uitvoeringspad: een versluierde VBS-launcher uitgevoerd via wscript.exe roept een PowerShell-downloader op, die gefragmenteerde, op tekst gebaseerde payloads ophaalt van een externe host”, aldus Securonix-onderzoekers Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee in een technisch rapport gedeeld met The Hacker News.
“Deze fragmenten worden gereconstrueerd in gecodeerde laders, in het geheugen gedecodeerd door een .NET Reactor-beveiligde assembly, en gebruikt om een externe Remcos-configuratie op te halen en toe te passen. De laatste fase maakt gebruik van MSBuild.exe als een binair leven van het land (LOLBin) om de uitvoering te voltooien, waarna de Remcos RAT-backdoor volledig wordt ingezet en de controle over het gecompromitteerde systeem overneemt.”
De activiteit wordt als breed en opportunistisch beoordeeld en richt zich primair op ondernemingen en kleine tot middelgrote bedrijven. De tooling en het vakmanschap sluiten aan bij typische initiële toegangsmakelaars, die voet aan de grond krijgen om zich te richten op omgevingen en deze voor financieel gewin aan andere actoren verkopen. Dat gezegd hebbende, is er geen bewijs om het toe te schrijven aan een bekende dreigingsgroep.
Het meest ongebruikelijke aspect van de campagne is de afhankelijkheid van tussenliggende tekst-only stagers, gekoppeld aan het gebruik van PowerShell voor reconstructie in het geheugen en een door .NET Reactor beschermde reflecterende lader, om de daaropvolgende fasen van de aanval uit te pakken met als doel de detectie- en analyse-inspanningen te bemoeilijken.
De infectiereeks begint met het ophalen en uitvoeren van een versluierd Visual Basic-script (“win64.vbs”) dat waarschijnlijk wordt geactiveerd door middel van gebruikersinteractie, zoals het klikken op een link die wordt geleverd via sociaal ontworpen kunstaas. Het script, uitgevoerd met “wscript.exe”, functioneert als een lichtgewicht opstartprogramma voor een Base64-gecodeerde PowerShell-payload.
Het PowerShell-script maakt vervolgens gebruik van System.Net.WebClient om te communiceren met dezelfde server die wordt gebruikt om het VBS-bestand op te halen en een op tekst gebaseerde payload met de naam “qpwoe64.txt” (of “qpwoe32.txt” voor 32-bits systemen) neer te zetten in de map %TEMP% van de machine.
“Het script komt dan in een lus waar het het bestaan en de grootte van het bestand valideert”, legt Securonix uit. “Als het bestand ontbreekt of onder de geconfigureerde lengtedrempel (minLength) ligt, pauzeert de stager de uitvoering en downloadt de inhoud opnieuw. Als de drempel niet wordt bereikt binnen het gedefinieerde time-outvenster (maxWait), gaat de uitvoering door zonder te worden beëindigd, waardoor ketenfalen wordt voorkomen.”
“Dit mechanisme zorgt ervoor dat onvolledige of beschadigde payloadfragmenten de uitvoering niet onmiddellijk verstoren, waardoor het zelfherstellende ontwerp van de campagne wordt versterkt.”
Als het tekstbestand aan de relevante criteria voldoet, gaat het verder met het construeren van een tweede secundair PowerShell-script (“jdywa.ps1”) in de map %TEMP%, dat een .NET Reactor Loader aanroept die verantwoordelijk is voor het tot stand brengen van persistentie, het ophalen van de volgende fase van malware en het opnemen van verschillende anti-debugging- en anti-VM-controles om onder de radar te blijven.
De lader lanceert uiteindelijk de Remcos RAT-malware op de getroffen host met behulp van een legitiem Microsoft Windows-proces, “MSBuild.exe”. In de loop van de aanval zijn ook executie-wrapper-scripts verwijderd om de uitvoering van “win64.vbs” opnieuw te activeren met behulp van “wscript.exe”.
“Alles bij elkaar duiden deze gedragingen op een actief onderhouden en modulair laderframework dat is ontworpen om de Remcos-lading draagbaar, veerkrachtig en moeilijk statisch te classificeren te houden”, merkten de onderzoekers op. “De combinatie van tussenproducten met alleen tekst, in-memory .NET Reactor-laders en LOLBin-misbruik weerspiegelt een doelbewuste strategie om antivirushandtekeningen, sandboxes en snelle triage van analisten te frustreren.”
