Эксперты организации Securonix Threat Research — Акшай Гайквад, Шикха Сангван и Аарон Бирдсли — раскрыли детали новой сложной кибератаки, получившей кодовое название VOIDGEIST. Согласно данным, опубликованным изданием The Hacker News, кампания представляет собой многоступенчатую бестфайловую систему доставки вредоносного ПО на базе скриптов. Конечной целью злоумышленников является установка сразу трех троянов удаленного доступа (RAT): XWorm, AsyncRAT и Xeno RAT.
Первоначальным вектором заражения в рамках атаки служат фишинговые электронные письма. Процесс компрометации запускается при выполнении обфусцированного пакетного скрипта. Чтобы отвлечь внимание жертвы, вредоносная программа разворачивает браузер Google Chrome в полноэкранном режиме и демонстрирует поддельный PDF-документ, имитирующий финансовый отчет или счет-фактуру.
Для обеспечения максимальной скрытности VOIDGEIST использует утилиту PowerShell с параметром
Механизм закрепления в системе реализован с высокой осторожностью: вспомогательный пакетный скрипт помещается непосредственно в директорию автозагрузки пользователя Windows (Startup directory). Атакующие принципиально не изменяют глобальные ключи реестра, не создают запланированные задачи и не устанавливают системные службы. Такой подход радикально сокращает криминалистический след и предотвращает появление предупреждений от систем мониторинга реестра.
Для размещения полезной нагрузки и инфраструктуры управления (C2) киберпреступники используют домены сервиса TryCloudflare. На втором этапе вредоносное ПО скачивает с этих серверов ZIP-архивы, содержащие критически важные файлы. В их числе — загрузчик на языке Python
Чтобы обеспечить автономность, загрузчик скачивает легитимную встраиваемую среду выполнения Python напрямую с официального сайта . Это устраняет зависимость кода от конфигурации зараженной хост-системы, гарантируя вредоносному ПО портативность, надежность и повышенную скрытность. Рабочая директория атаки трансформируется в полностью самодостаточную среду выполнения.
Внедрение полезной нагрузки осуществляется с использованием техники Early Bird Asynchronous Procedure Call (APC) injection. Загрузчик напрямую инжектирует сырой шелл-код в оперативную память отдельных экземпляров легитимного процесса explorer.exe.
Последовательность исполнения строго регламентирована. Сначала среда Python запускает скрипт
Цепочка заражения завершается передачей минималистичного HTTP-маяка обратно на инфраструктуру управления C2, размещенную на TryCloudflare. Сигнал подтверждает успешную компрометацию устройства. На данный момент конкретные цели злоумышленников и количество пострадавших остаются неизвестными. Главным поведенческим индикатором, по которому системы безопасности могут выявить активность VOIDGEIST, являются повторяющиеся внедрения кода в процесс explorer.exe в течение коротких промежутков времени.
Изображение носит иллюстративный характер
Первоначальным вектором заражения в рамках атаки служат фишинговые электронные письма. Процесс компрометации запускается при выполнении обфусцированного пакетного скрипта. Чтобы отвлечь внимание жертвы, вредоносная программа разворачивает браузер Google Chrome в полноэкранном режиме и демонстрирует поддельный PDF-документ, имитирующий финансовый отчет или счет-фактуру.
Для обеспечения максимальной скрытности VOIDGEIST использует утилиту PowerShell с параметром
-WindowStyle Hidden, что позволяет незаметно перезапустить исходный пакетный файл. Вся вредоносная активность осуществляется исключительно в рамках прав текущего авторизованного пользователя. Инструмент намеренно избегает повышения привилегий в системе, что минимизирует риск срабатывания защитных механизмов. Эта стратегия имитирует стандартные действия администратора и снижает вероятность обнаружения на уровне жесткого диска благодаря безфайловой архитектуре исполнения. Механизм закрепления в системе реализован с высокой осторожностью: вспомогательный пакетный скрипт помещается непосредственно в директорию автозагрузки пользователя Windows (Startup directory). Атакующие принципиально не изменяют глобальные ключи реестра, не создают запланированные задачи и не устанавливают системные службы. Такой подход радикально сокращает криминалистический след и предотвращает появление предупреждений от систем мониторинга реестра.
Для размещения полезной нагрузки и инфраструктуры управления (C2) киберпреступники используют домены сервиса TryCloudflare. На втором этапе вредоносное ПО скачивает с этих серверов ZIP-архивы, содержащие критически важные файлы. В их числе — загрузчик на языке Python
runn.py, а также зашифрованные шелл-коды троянов: new.bin для XWorm, xn.bin для Xeno RAT и pul.bin для AsyncRAT. Для их дешифровки в процессе выполнения требуются файлы ключей a.json, n.json и p.json. Чтобы обеспечить автономность, загрузчик скачивает легитимную встраиваемую среду выполнения Python напрямую с официального сайта . Это устраняет зависимость кода от конфигурации зараженной хост-системы, гарантируя вредоносному ПО портативность, надежность и повышенную скрытность. Рабочая директория атаки трансформируется в полностью самодостаточную среду выполнения.
Внедрение полезной нагрузки осуществляется с использованием техники Early Bird Asynchronous Procedure Call (APC) injection. Загрузчик напрямую инжектирует сырой шелл-код в оперативную память отдельных экземпляров легитимного процесса explorer.exe.
Последовательность исполнения строго регламентирована. Сначала среда Python запускает скрипт
runn.py, который расшифровывает и внедряет XWorm через Early Bird APC. Затем для активации Xeno RAT задействуется легитимный бинарный файл Microsoft под названием AppInstallerPythonRedirector.exe, вызывающий Python для старта трояна. На финальной стадии загрузчик использует тот же механизм инъекции для запуска AsyncRAT. Цепочка заражения завершается передачей минималистичного HTTP-маяка обратно на инфраструктуру управления C2, размещенную на TryCloudflare. Сигнал подтверждает успешную компрометацию устройства. На данный момент конкретные цели злоумышленников и количество пострадавших остаются неизвестными. Главным поведенческим индикатором, по которому системы безопасности могут выявить активность VOIDGEIST, являются повторяющиеся внедрения кода в процесс explorer.exe в течение коротких промежутков времени.
