A novel remote access trojan (RAT) yang didistribusikan melalui kampanye spear-phishing berbahasa Rusia menggunakan manipulasi unik Registri Windows untuk menghindari sebagian besar deteksi keamanan, menunjukkan evolusi signifikan dalam teknik malware tanpa file.
Dijuluki DarkWatchman, RAT – ditemukan oleh para peneliti at Prevailion’s Adversarial Counterintelligence Team (PACT) – menggunakan registri pada sistem Windows untuk hampir semua penyimpanan sementara di mesin dan dengan demikian tidak pernah menulis apa pun ke disk. Ini memungkinkannya “beroperasi di bawah atau di sekitar ambang deteksi sebagian besar alat keamanan,” tulis peneliti PACT Matt Stafford dan Sherman Smith dalam sebuah laporan yang diterbitkan Selasa malam.
Selain ketekunan tanpa file, DarkWatchman juga menggunakan Algoritma Pembuatan Domain yang “kuat”. (DGA) untuk mengidentifikasi infrastruktur command-and-control (C&C) dan mencakup kemampuan run-time dinamis seperti pembaruan sendiri dan kompilasi ulang, para peneliti mengamati. ch SSLBL untuk nama domain “bfdb1290[.]top.” Para peneliti menemukan sampel berbahaya dari RAT yang ditautkan ke sertifikat daftar hitam melalui VirusTotal, yang mengarah ke penemuan domain terkait lainnya yang dihosting di alamat IP Bulgaria yang terkait dengan network.
ISP Bulgaria Belcloud LTD Tim PACT menyusun garis waktu aktivitas dan akhirnya mengidentifikasi DarkWatchman didistribusikan melalui kampanye spear-phishing menggunakan email berbahasa Rusia dengan baris subjek “Pemberitahuan kedaluwarsa penyimpanan gratis.” Mereka tampaknya berasal dari pengirim dari URL “ponyexpress[.]ru.”
“Isi email … berisi materi iming-iming tambahan yang kemungkinan akan diantisipasi orang setelah membaca subjeknya,” tulis para peneliti. “Terutama, itu merujuk pada lampiran (berbahaya), kedaluwarsa penyimpanan gratis, dan diklaim berasal dari Pony Express (sehingga semakin memperkuat alamat pengirim palsu). sekitar Windows Registry, peneliti mengamati. RAT menggunakan registri dengan cara yang “khususnya baru” – “untuk berkomunikasi antara utas operasi yang disarikan, dan sebagai penyimpanan persisten dan sementara,” tulis mereka.
“Tampaknya penulis DarkWatchman mengidentifikasi dan memanfaatkan kompleksitas dan opasitas Registry Windows untuk bekerja di bawah atau di sekitar ambang deteksi alat keamanan dan analis, ”tulis para peneliti. “Perubahan registri adalah hal biasa, dan mungkin sulit untuk mengidentifikasi perubahan mana yang anomali atau di luar cakupan fungsi OS dan perangkat lunak normal.”
DarkWatchman juga menggunakan registri untuk buffer penyimpanan sementara untuk informasi yang belum dikirim ke perintah -and-control (C2), serta lokasi penyimpanan untuk kode yang dapat dieksekusi yang disandikan sebelum runtime. Fitur-fitur ini “menunjukkan pemahaman yang kuat tentang pengembangan perangkat lunak dan Sistem Operasi Windows itu sendiri,” tulis para peneliti.
“Penyimpanan biner dalam registri sebagai teks yang disandikan berarti bahwa DarkWatchman persisten namun eksekusinya tidak pernah (secara permanen) ditulis ke disk ; itu juga berarti bahwa operator DarkWatchman dapat memperbarui (atau mengganti) malware setiap kali dijalankan,” mereka mengamati.
Tool of Ransomware Actors?
Karena aspek tertentu dari fungsinya, peneliti percaya bahwa DarkWatchman sedang digunakan oleh pelaku ransomware dan afiliasinya “ sebagai payload awal tahap pertama untuk penyebaran ransomware,” tulis mereka.
Aspek ini mencakup upayanya untuk menghapus salinan bayangan saat penginstalan, pencariannya untuk target perusahaan – misalnya, pembaca kartu pintar – dan kemampuannya untuk memuat muatan tambahan dari jarak jauh, mereka dijelaskan.
Selain itu, pengenalan RAT tentang struktur C2 yang ditentukan DGA memberikan ketahanan dan keacakan pada komunikasinya yang menunjukkan bahwa operator ransomware menggunakannya untuk mendukung aktivitas afiliasi, kata mereka.
“Satu hipotesis yang menarik adalah bahwa operator ransomware dapat menyediakan sesuatu seperti DarkWatchman ke afiliasi mereka yang kurang berkemampuan teknologi, dan sekali afiliasi te mendapatkan pijakan dalam sistem, secara otomatis berkomunikasi kembali ke domain yang dikontrol operator,” tulis peneliti.
Jenis aktivitas ini akan menghilangkan kebutuhan afiliasi untuk menyebarkan ransomware atau menangani eksfiltrasi file, dan memindahkan operator ransomware dari peran negosiator untuk orang yang mengendalikan infeksi secara aktif, kata mereka.
Secara keseluruhan, jelas bahwa rangkaian fitur DarkWatchman menunjukkan pekerjaan aktor ancaman yang canggih dan mewakili langkah maju yang penting dalam bagaimana penyerang dapat memperoleh entri awal dan kemudian mencapai persisten diam-diam kehadiran pada sistem Windows untuk mengekstrak data dan melakukan aktivitas jahat lainnya, tulis para peneliti.
“DarkWatchman penting karena mewakili evolusi dalam teknik malware tanpa file – di antara fitur baru lainnya – yang membuatnya sangat memprihatinkan,” kata mereka.