Cybersecurity-onderzoekers hebben een nieuwe meerfasige aanvalsketen voor malware-aflevering gemarkeerd die gebruik maakt van social engineering en Blogger-pagina’s om een informatiedief te leveren genaamd PureLogs.
De activiteit heeft de codenaam gekregen SLUIER#DROP van Securonix. Er wordt vermoed dat de initiële ladingen worden verspreid via spear-phishing of een drive-by-compromis, wat gebeurt wanneer een nietsvermoedende gebruiker op een (legitieme of andere) website terechtkomt die onder controle van de aanvaller staat.
“De infectieketen begint met een bedrieglijk genaamd JavaScript-bestand dat zich voordoet als een document (bijvoorbeeld transcript.pdf.js), dat wordt uitgevoerd via Windows Script Host en PowerShell start met omzeilingen van het uitvoeringsbeleid ingeschakeld”, aldus onderzoekers Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee in een rapport gedeeld met The Hacker News.
Op een hoog niveau is het PowerShell-script verantwoordelijk voor het ophalen van een payload in de volgende fase die wordt gehost op Blogger (“htlwub00klocate.blogspot(.)com”), waardoor de aanvallers de op reputatie gebaseerde verdediging kunnen omzeilen door de vertrouwde infrastructuur van Google als stager te misbruiken en op te gaan in legitieme webactiviteiten.
De gedownloade PowerShell-payload fungeert als kanaal voor het laden van een goedaardige webpagina zoals Google, waardoor de indruk wordt gewekt dat een PDF-document wordt geopend, terwijl de infectiesequentie stil op de achtergrond verloopt, wat uiteindelijk leidt tot de inzet van PureLogs Stealer, een op .NET gebaseerde infostealer die bekend staat om het verzamelen van een breed scala aan gevoelige gegevens van aangetaste hosts.
De PowerShell-lader probeert ook een onbeperkte uitvoering van vervolg-PowerShell-opdrachten te garanderen, geselecteerde processen zoals “wscript.exe” te beëindigen om het forensische spoor te minimaliseren, “transcript.pdf.js” te verwijderen om bewijs van uitvoering te elimineren en een ingebedde payload te decoderen.
“Na succesvolle XOR-decodering gaat de lader over naar een van de meest ontwijkende componenten van het VEIL#DROP-framework: dynamische fasegeneratie gecombineerd met runtime-mutatie”, legt Securonix uit. “In plaats van statische indicatoren zoals hardgecodeerde URL’s of voorspelbare uitvoeringspatronen te gebruiken, construeert de malware tijdens de uitvoering dynamisch de volgende fase van de payload-locatie.”
Dit omvat het bouwen van een unieke blogspot(.)com-URL voor elke uitvoering door een willekeurig aantal slashes (“https://thehackernews.com/”) in de URL-reeks in te voegen om statische URL-handtekeningen, indicatorgebaseerde blokkering en URL-gebaseerde filtermechanismen te omzeilen.
Bovendien introduceert het gedecodeerde script runtime-mutatie en polymorfisme door tijdelijke aanduiding-waarden binnen het script te vervangen door willekeurig gegenereerde tekenreeksen en waarden tijdens de uitvoering. Deze variabiliteit is bedoeld om scripthandtekeningen en bestandshashes te ondermijnen, waardoor betrouwbare detectie wordt voorkomen.
Het gereconstrueerde script wordt uiteindelijk volledig in het geheugen uitgevoerd, zonder dat er artefacten op de schijf achterblijven. Deze component functioneert als een lader die verantwoordelijk is voor het decoderen en uitvoeren van de kernmalwarecomponent, die niets anders is dan een .NET-assembly die wordt gestart met behulp van een techniek die bekend staat als het laden van reflecterende code.
In het geval dat veiligheidscontroles en andere omgevingsbeperkingen voorkomen dat de herstelde .NET-assemblies rechtstreeks vanuit het geheugen worden uitgevoerd, bevat de lader een fallback-uitvoeringsmethode die afhankelijk is van door Microsoft ondertekende binaire bestanden, zoals “regsvcs.exe”, “installutil.exe”, “msbuild.exe” en “aspnet_compiler.exe”, om dezelfde doelen te bereiken zonder enige aandacht te trekken.
Omdat deze binaire bestanden worden vertrouwd, ondertekend door Microsoft en al op het systeem aanwezig zijn, stelt de Living-off-the-land (LotL)-aanpak de aanvallers in staat hun activiteiten legitiem te laten lijken en onder de radar te blijven.
“Een van de meest opvallende aspecten van de lader is dat deze niet afhankelijk is van een enkele LOLBin”, aldus de onderzoekers. “In plaats daarvan volgt de uitvoering een trapsgewijze model, waarbij elke methode wordt geprobeerd totdat er één slaagt.”
De impact van een stealer-infectie gaat doorgaans verder dan het aanvankelijk gecompromitteerde eindpunt, omdat de verzamelde gegevens kunnen fungeren als opstapje om dieper in de doelomgeving te graven, persistentie tot stand te brengen, zijwaartse bewegingen uit te voeren en zelfs de cloudinfrastructuur te doorbreken.
“De combinatie van gecompromitteerde websites, maskering met meerdere extensies, vertrouwde cloudservices, XOR-versluierde payloads, reflecterend laden van .NET, bestandsloze uitvoering en LOLBIN-misbruik demonstreert een doelbewuste poging om traditionele antivirusoplossingen te omzeilen, forensische artefacten te verminderen en operationele stealth te handhaven gedurende de levenscyclus van de infectie”, aldus Securonix.