NUMOZYLOD Malware izkorišča MSIX namestitvenike za izvajanje nevarne kodep

Recentna kampanja zlonamerne programske opreme z uporabo trojaniziranih MSIX installerjev

Znano je, da so zlonamerne kampanje vedno bolj usmerjene v čim bolj prikrite metode napada, katerih cilj je velika skupnost nič hudega slutečih uporabnikov. V recentno odkriti kampanji je bil zaznan porast trojaniziranih MSIX installerjev, ki ciljajo uporabnike, ki iščejo poslovno programsko opremo.

Zlonamerna skupina “eugenfest” in NUMOZYLOD

Kampanjo izvaja zlonamerna skupina “eugenfest” z uporabo PowerShell skripta z imenom NUMOZYLOD. Ta skript se uporablja za prenos dodatnih zlonamernih programov na računalniške sisteme žrtev.

NUMOZYLOD je del MaaS (Malware-as-a-Service) operacije, ki distribuira različne zlonamerne programe, vključno z ICEDID, REDLINESTEALER, CARBANAK, LUMMASTEALER in ARECHCLIENT2. To poudarja vedno večji trend sodelovanja med napadalci v podzemni ekonomiji, kjer si delijo specializirana orodja in storitve za čim večjo učinkovitost napadov.

Izraba MSIX kot distribucijske metode

Nedavna preiskava je razkrila, da napadalci izkoriščajo MSIX kot prikrito metodo za združevanje in distribucijo zlonamernih programov skupaj z zakonito programsko opremo. Preiskava je pokazala sofisticirano uporabo MSIX paketov, kjer je bila struktura paketa, vključno z datotekami AppxManifest.xml, config.json, StartingScriptWrapper.ps1 in VFS mapami, skrbno načrtovana za izvajanje zlonamernega PowerShell skripta in pridobitev začetnega dostopa na ciljanih sistemih.

Življenjski cikel napada NUMOZYLOD

Uporaba malvertizinga za distribucijo trojaniziranih MSIX installerjev

Napadalna skupina UNC4536 uporablja tehniko malvertizinga za distribucijo trojaniziranih MSIX installerjev priljubljenih programov, ki vsebujejo zlonamerno kodo, kot je NUMOZYLOD. Ta se izvaja s pomočjo frameworka Package Support (PSF) med procesom namestitve.

Napadalci izkoristijo zmožnost PSF za izvajanje skriptov pred ali po zagonu glavne aplikacije. S tem lahko prikrito namestijo zlonamerno kodo na sisteme žrtev, tako da dodajo konfiguracijske elemente, imenovane startScript in endScript.

Gradnja paketa

Sofisticirana struktura in analitika trojaniziranih MSIX datotek

Analiza trojaniziranih MSIX datotek je razkrila zelo sofisticirano tehniko napada. Struktura paketa, vključno z AppxManifest.xml, config.json, StartingScriptWrapper.ps1 in VFS mapami, je bila skrbno načrtovana za izvajanje zlonamernega PowerShell skripta.

Napadalci so uporabili zmožnost ‘runFullTrust’ za obhod varnostnih kontrol in izvajanje z višjimi privilegiji. Prav tako je VFS mapa vsebovala datoteke za prihodnje faze napada, kot je orodje za dešifriranje prenesenih kod. Trojanizirane MSIX datoteke so bile distribuirane s pomočjo malvertizing kampanj, ki so ciljale nič hudega sluteče uporabnike.

Ovitek je opazno izvedel zlonamerni PowerShell skript “Refresh2.ps1” (NUMOZYLOD), določen v config.json

NUMOZYLOD in distribucija zlonamernih programov

UNC4536, distribuiter zlonamerne programske opreme, uporablja NUMOZYLOD za dostavo različnih programskih kod svojim “poslovnim partnerjem.” V kampanjah so opazili dve specifični različici NUMOZYLOD, ki sta distribuirali CARBANAK in LUMMASTEALER.

V kampanji CARBANAK je NUMOZYLOD zbiral informacije o gostitelju, prenesel CARBANAK in ga izvedel s pomočjo ugrabljanja vrstnega reda iskanja DLL. Medtem ko je v kampanji LUMMASTEALER močno zamaskirana različica NUMOZYLOD dostavila LUMMASTEALER.

Zamaskirana različica NUMOZYLOD

Zmogljive tehnike zamaskiranja

NUMOZYLOD uporablja večplastne tehnike zamaskiranja za izogibanje zaznavi. Kljub tem tehnikam lahko analitiki z analizo beleženja blokov PowerShell skriptov in dogodkov AMSI dešifrirajo zlonamerno programsko opremo in prepoznajo njeno zlonamerno vedenje.

Najprej onemogoči AMSI za obhod varnostnih ukrepov, nato prenese in izvrši sekundarno kodo s strežnika C2, identificirano kot LUMMASTE

Leave a Reply

Your email address will not be published. Required fields are marked *