De bedreigingsactoren achter een loader-malware genaamd HijackLoader hebben nieuwe technieken toegevoegd voor het ontwijken van defensie, omdat de malware steeds vaker door andere bedreigingsactoren wordt gebruikt om extra ladingen en tools te leveren.
“De malware-ontwikkelaar gebruikte een standaard techniek voor het uithollen van processen, gekoppeld aan een extra trigger die werd geactiveerd doordat het bovenliggende proces naar een pipe schreef”, zeiden CrowdStrike-onderzoekers Donato Onofri en Emanuele Calvelli in een analyse van woensdag. “Deze nieuwe aanpak heeft het potentieel om verdedigingsontduiking sluipender te maken.”
HijackLoader werd voor het eerst gedocumenteerd door Zscaler ThreatLabz in september 2023 en werd gebruikt als kanaal om DanaBot, SystemBC en RedLine Stealer te leveren. Het is ook bekend dat het een hoge mate van gelijkenis vertoont met een andere lader, bekend als IDAT Loader.
Er wordt vastgesteld dat beide laders door dezelfde cybercriminaliteitsgroep worden geëxploiteerd. In de tussenliggende maanden is HijackLoader via ClearFake verspreid en door TA544 (ook bekend als Narwhal Spider, Gold Essex en Ursnif Gang) gebruikt om Remcos RAT en SystemBC via phishing-berichten te bezorgen.
“Denk aan laders als wolven in schaapskleren. Hun doel is om meer geavanceerde bedreigingen en hulpmiddelen binnen te sluipen, te introduceren en uit te voeren”, zei Liviu Arsene, directeur van bedreigingsonderzoek en rapportage bij CrowdStrike, in een verklaring gedeeld met The Hacker News.
“Deze recente variant van HijackLoader (ook bekend als IDAT Loader) voert zijn sluipspel op door nieuwe technieken toe te voegen en ermee te experimenteren. Dit is vergelijkbaar met het verbeteren van de vermomming, waardoor het heimelijker, complexer en moeilijker te analyseren is. In essentie zijn ze ‘ ze verfijnen hun digitale camouflage.”
Het startpunt van de meerfasige aanvalsketen is een uitvoerbaar bestand (“streaming_client.exe”) dat controleert op een actieve internetverbinding en vervolgens een configuratie van de tweede fase downloadt van een externe server.
Het uitvoerbare bestand laadt vervolgens een legitieme dynamic-link bibliotheek (DLL) die in de configuratie is gespecificeerd om shellcode te activeren die verantwoordelijk is voor het starten van de HijackLoader-payload via een combinatie van procesverdubbeling en procesuithollingstechnieken die de complexiteit van de analyse en de mogelijkheden om de verdediging te ontwijken vergroten.
“De HijackLoader tweede fase, positie-onafhankelijke shellcode voert vervolgens enkele ontwijkingsactiviteiten uit om hooks in de gebruikersmodus te omzeilen met behulp van Heaven’s Gate en injecteert de daaropvolgende shellcode in cmd.exe”, aldus de onderzoekers.
“De injectie van de shellcode van de derde fase wordt bereikt via een variatie van procesuitholling die resulteert in een geïnjecteerde uitgeholde mshtml.dll in het nieuw voortgebrachte onderliggende proces cmd.exe.”
Heaven’s Gate verwijst naar een heimelijke truc waarmee kwaadaardige software eindpuntbeveiligingsproducten kan omzeilen door 64-bits code aan te roepen in 32-bits processen in Windows, waardoor de hooks in de gebruikersmodus effectief worden omzeild.
Een van de belangrijkste ontwijkingstechnieken die bij de aanvalssequenties van HijackLoader worden waargenomen, is het gebruik van een procesinjectiemechanisme dat ’transacted Hollowing’ wordt genoemd en dat eerder is waargenomen in malware zoals de Osiris-banktrojan.
“Loaders zijn bedoeld als stealth-lanceringsplatforms voor tegenstanders om meer geavanceerde malware en tools te introduceren en uit te voeren zonder hun activa in de beginfase te verbranden”, aldus Arsene.
“Investeren in nieuwe defensie-ontwijkingsmogelijkheden voor HijackLoader (ook bekend als IDAT Loader) is potentieel een poging om het stealth te maken en onder de radar van traditionele beveiligingsoplossingen te vliegen. De nieuwe technieken signaleren zowel een doelbewuste als experimentele evolutie van de bestaande defensie-ontwijkingsmogelijkheden, terwijl ze ook het vergroten van de complexiteit van de analyse voor dreigingsonderzoekers.”
