Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới có tên SHADOW#REACTOR sử dụng chuỗi tấn công đa giai đoạn tinh vi để phân phối một công cụ quản trị từ xa có sẵn trên thị trường là Remcos RAT và thiết lập quyền truy cập từ xa bí mật, liên tục.
"Chuỗi lây nhiễm tuân theo một lộ trình thực thi được sắp xếp chặt chẽ: một trình khởi chạy VBS bị xáo trộn được thực thi thông qua wscript.exe sẽ gọi một trình tải xuống PowerShell, trình này truy xuất các payload dựa trên văn bản, bị phân mảnh từ một máy chủ từ xa," các nhà nghiên cứu của Securonix là Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee cho biết trong một báo cáo kỹ thuật được chia sẻ với The Hacker News.
"Các mảnh này được tái tạo thành các loader đã mã hóa, được giải mã trong bộ nhớ bởi một assembly được bảo vệ bằng .NET Reactor, và được sử dụng để tìm nạp và áp dụng cấu hình Remcos từ xa. Giai đoạn cuối cùng tận dụng MSBuild.exe như một living-off-the-land binary (LOLBin) để hoàn tất việc thực thi, sau đó backdoor Remcos RAT được triển khai hoàn chỉnh và kiểm soát hệ thống bị xâm nhập."
Hoạt động này được đánh giá là rộng rãi và cơ hội, chủ yếu nhắm mục tiêu vào các môi trường doanh nghiệp và doanh nghiệp vừa và nhỏ. Các công cụ và kỹ thuật tấn công phù hợp với các initial access brokers điển hình, những người có được chỗ đứng trong môi trường mục tiêu và bán chúng cho các tác nhân khác để kiếm lợi tài chính. Mặc dù vậy, không có bằng chứng nào để gán nó cho một nhóm đe dọa đã biết.
Điểm bất thường nhất của chiến dịch là sự phụ thuộc vào các stager chỉ chứa văn bản trung gian, cùng với việc sử dụng PowerShell để tái tạo trong bộ nhớ và một reflective loader được bảo vệ bởi .NET Reactor, nhằm giải nén các giai đoạn tấn công tiếp theo với mục đích làm phức tạp các nỗ lực phát hiện và phân tích.
Trình tự lây nhiễm bắt đầu bằng việc truy xuất và thực thi một Visual Basic Script bị xáo trộn ("win64.vbs"), có khả năng được kích hoạt thông qua tương tác người dùng, chẳng hạn như nhấp vào một liên kết được gửi qua các chiêu lừa đảo xã hội. Script này, chạy bằng "wscript.exe," hoạt động như một trình khởi chạy nhẹ cho một payload PowerShell được mã hóa Base64.
Script PowerShell sau đó sử dụng System.Net.WebClient để liên lạc với cùng một máy chủ được dùng để tìm nạp file VBS và thả một payload dựa trên văn bản có tên "qpwoe64.txt" (hoặc "qpwoe32.txt" cho hệ thống 32-bit) vào thư mục %TEMP% của máy.
"Script sau đó đi vào một vòng lặp để xác thực sự tồn tại và kích thước của file," Securonix giải thích. "Nếu file bị thiếu hoặc dưới ngưỡng độ dài đã cấu hình (minLength), stager sẽ tạm dừng thực thi và tải lại nội dung. Nếu ngưỡng không được đáp ứng trong cửa sổ thời gian chờ được xác định (maxWait), quá trình thực thi sẽ tiếp tục mà không chấm dứt, ngăn chặn chuỗi thất bại."
"Cơ chế này đảm bảo rằng các đoạn payload không đầy đủ hoặc bị hỏng không làm gián đoạn ngay lập tức quá trình thực thi, củng cố thiết kế tự phục hồi của chiến dịch."
Nếu file văn bản đáp ứng các tiêu chí liên quan, nó sẽ tiến hành xây dựng một script PowerShell phụ thứ hai ("jdywa.ps1") trong thư mục %TEMP%, script này sẽ gọi một .NET Reactor Loader chịu trách nhiệm thiết lập persistence, truy xuất mã độc giai đoạn tiếp theo và tích hợp nhiều kiểm tra anti-debugging và anti-VM để tránh bị phát hiện.
Cuối cùng, loader sẽ khởi chạy mã độc Remcos RAT trên máy chủ bị xâm nhập bằng cách sử dụng một tiến trình hợp pháp của Microsoft Windows, "MSBuild.exe." Trong quá trình tấn công, các execution wrapper scripts cũng được thả ra để kích hoạt lại việc thực thi "win64.vbs" bằng "wscript.exe."
"Tổng hợp lại, các hành vi này cho thấy một framework loader được duy trì tích cực và mô-đun, được thiết kế để giữ cho payload Remcos có tính di động, bền bỉ và khó phân loại tĩnh," các nhà nghiên cứu lưu ý. "Sự kết hợp giữa các intermediates chỉ chứa văn bản, các .NET Reactor loader trong bộ nhớ và việc lạm dụng LOLBin phản ánh một chiến lược có chủ ý nhằm gây khó khăn cho các chữ ký antivirus, sandboxes và việc phân loại nhanh chóng của các nhà phân tích."
