VOID#GEIST Malware
Cybersicherheitsforscher haben eine ausgeklügelte, mehrstufige Malware-Kampagne aufgedeckt, die mithilfe von Batch-Skripten verschlüsselte Remote-Access-Trojaner (RAT) einschleust. Die Kampagne mit dem Namen VOID#GEIST setzt verschiedene RAT-Familien ein, darunter XWorm, AsyncRAT und Xeno RAT.
Die Angriffskette nutzt ein verschleiertes Batch-Skript, das eine Abfolge von Aktionen auslöst, um einer Erkennung zu entgehen. Diese Aktionen umfassen das Starten eines weiteren Batch-Skripts, das Bereitstellen einer legitimen eingebetteten Python-Laufzeitumgebung und das Entschlüsseln verschlüsselter Shellcode-Payloads. Der Shellcode wird direkt im Speicher ausgeführt, nachdem er mithilfe einer Technik namens Early Bird Asynchronous Procedure Call (APC)-Injection in separate Instanzen des Windows-Prozesses explorer.exe eingeschleust wurde.
Inhaltsverzeichnis
Skriptgesteuerte Malware-Verbreitung: Ein modernes Bedrohungsmodell
Moderne Bedrohungsakteure verzichten zunehmend auf herkömmliche, eigenständige ausführbare Malware und setzen stattdessen auf mehrschichtige, skriptbasierte Verbreitungssysteme, die das Verhalten legitimer Nutzer imitieren. Anstatt herkömmliche Portable Executable (PE)-Binärdateien einzusetzen, orchestrieren Angreifer komplexe Pipelines, die verschiedene legitime Technologien und Skriptumgebungen kombinieren.
Typische Komponenten, die in diesen Frameworks verwendet werden, sind:
- Batch-Skripte, die zur Steuerung der Infektionssequenz verwendet werden.
- PowerShell-Befehle, die das unauffällige Bereitstellen von Nutzdaten ermöglichen.
- Eingebettete, legitime Laufzeitumgebungen, die die Portabilität zwischen verschiedenen Systemen gewährleisten.
- Roher Shellcode wird direkt im Speicher ausgeführt, um Persistenz und Kontrolle zu gewährleisten.
Dieser dateilose Ausführungsansatz verringert die Möglichkeiten der Erkennung auf Festplattenbasis erheblich. Jede einzelne Phase erscheint bei isolierter Betrachtung relativ harmlos und ähnelt oft routinemäßigen administrativen Tätigkeiten, wodurch Angreifer in kompromittierten Umgebungen agieren können, ohne sofortige Sicherheitswarnungen auszulösen.
Erster Zugriff über Phishing und die Cloudflare-Infrastruktur
Der Angriff beginnt mit einem schädlichen Batch-Skript, das über Phishing-E-Mails verbreitet wird. Das Skript wird von einer Infrastruktur abgerufen, die auf einer TryCloudflare-Domain gehostet wird. Nach der Ausführung vermeidet das Skript gezielt Versuche zur Rechteausweitung und arbeitet stattdessen strikt innerhalb der Berechtigungen des aktuell angemeldeten Benutzers.
Diese Strategie ermöglicht es der Schadsoftware, sich unbemerkt in alltägliche Benutzervorgänge einzufügen. Indem Aktionen vermieden werden, die erhöhte Berechtigungen erfordern, verringert der Angriff die Wahrscheinlichkeit, Sicherheitswarnungen oder administrative Aufforderungen auszulösen.
Techniken zur visuellen Ablenkung und heimlichen Hinrichtung
Nach der Ausführung startet die erste Phase der Schadsoftware ein Täuschungsdokument, um das Opfer abzulenken. Google Chrome wird im Vollbildmodus geöffnet und zeigt ein Finanzdokument oder eine Rechnung im PDF-Format an. Während sich der Nutzer auf das Dokument konzentriert, läuft die Schadsoftware im Hintergrund weiter.
Gleichzeitig wird ein PowerShell-Befehl ausgeführt, um das ursprüngliche Batch-Skript mit ausgeblendeten Ausführungsparametern neu zu starten. Die Verwendung des Parameters `-WindowStyle Hidden` verhindert das Erscheinen eines sichtbaren Konsolenfensters und stellt somit sicher, dass die schädliche Aktivität für den Benutzer verborgen bleibt.
Persistenz durch benutzerseitige Startausführung
Um auch nach Systemneustarts aktiv zu bleiben, installiert die Malware ein Hilfsskript im Windows-Autostartverzeichnis. Dadurch wird sichergestellt, dass das Skript automatisch ausgeführt wird, sobald sich das Opfer am System anmeldet.
Dieser Persistenzmechanismus ist bewusst subtil gestaltet. Anstatt aufdringlichere Techniken wie die Modifizierung von Systemregistrierungsschlüsseln, die Erstellung geplanter Aufgaben oder die Installation von Diensten zu verwenden, nutzt die Malware ausschließlich das normale Startverhalten des Benutzers. Da der Ansatz vollständig innerhalb der Berechtigungen des aktuellen Benutzers operiert, werden keine Aufforderungen zur Rechteausweitung ausgelöst und die Wahrscheinlichkeit einer Erkennung durch Überwachungstools für die Registrierung verringert.
Framework zum Abrufen und Entschlüsseln von Nutzdaten
Im nächsten Schritt der Infektionskette kontaktiert die Malware eine TryCloudflare-Domain, um zusätzliche Payload-Komponenten in ZIP-Archiven abzurufen. Diese Archive enthalten die Module, die zum Entschlüsseln und Ausführen der finalen Malware-Payloads erforderlich sind.
Das heruntergeladene Archiv enthält typischerweise die folgenden Komponenten:
- runn.py – ein Python-basierter Loader, der für das Entschlüsseln und Einfügen verschlüsselter Shellcode-Module in den Speicher zuständig ist.
- new.bin – verschlüsselte Shellcode-Nutzlast im Zusammenhang mit XWorm
- xn.bin – verschlüsselte Shellcode-Payload, die dem Xeno RAT entspricht
- pul.bin – verschlüsselte Shellcode-Nutzlast entsprechend AsyncRAT
- a.json, n.json und p.json – Schlüsseldateien, die vom Python-Loader verwendet werden, um die Shellcode-Nutzdaten während der Laufzeit dynamisch zu entschlüsseln.
Durch dieses modulare Design können die Angreifer verschiedene Nutzlasten unabhängig voneinander bereitstellen und diese nur bei Bedarf aktivieren.
Eingebettete Python-Laufzeitumgebung für Portabilität und unauffälliges Verhalten
Nach dem Extrahieren des Archivs installiert die Malware eine legitime, eingebettete Python-Laufzeitumgebung, die direkt von python.org bezogen wird. Durch die Einbettung eines legitimen Interpreters entfällt die Abhängigkeit von einer möglicherweise bereits auf dem kompromittierten System vorhandenen Python-Installation.
Aus Sicht eines Angreifers bietet dieser Schritt mehrere strategische Vorteile. Die Schadsoftware wird zu einer in sich geschlossenen Ausführungsumgebung, die in der Lage ist, Schadcode zu entschlüsseln und einzuschleusen, ohne externe Abhängigkeiten zu benötigen. Dies verbessert die Portabilität auf verschiedenen Systemen, erhöht die Zuverlässigkeit und trägt durch die Verwendung legitimer Softwarekomponenten zur operativen Tarnung bei.
In-Memory-Ausführung mehrerer RAT-Payloads
Die eingebettete Python-Laufzeitumgebung wird anschließend verwendet, um das Loader-Skript runn.py auszuführen. Der Loader entschlüsselt den mit XWorm verknüpften Shellcode und injiziert ihn mittels Early Bird APC-Injektion in eine laufende Instanz von explorer.exe.
Zur Installation von Xeno RAT nutzt die Malware eine legitime Microsoft-Datei namens AppInstallerPythonRedirector.exe, die Python aufruft und die benötigten Komponenten ausführt. Dieselbe Injektionstechnik wird anschließend für die Installation von AsyncRAT wiederverwendet, um sicherzustellen, dass alle Nutzdaten vollständig im Arbeitsspeicher ausgeführt werden und keine herkömmlichen ausführbaren Dateien auf der Festplatte hinterlassen.
Kommando- und Kontroll-Leuchtfeuer und modulare Architektur
Die letzte Phase des Angriffs besteht darin, ein minimales HTTP-Beacon an die vom Angreifer kontrollierte Command-and-Control-Infrastruktur (C2) auf TryCloudflare zu senden. Dieses Beacon bestätigt, dass das System erfolgreich kompromittiert wurde und bereit ist, weitere Anweisungen zu empfangen.
Obwohl die konkreten Ziele der Kampagne weiterhin unbekannt sind, weist die Infektionskette eine hochgradig modulare Architektur auf. Anstatt eine einzelne große Schadsoftware-Payload einzusetzen, führen die Angreifer die Komponenten schrittweise in mehreren Phasen ein. Dieses Design verbessert die operative Flexibilität und Widerstandsfähigkeit.
Aus Sicht der Erkennung zeichnet sich im Verlauf der Kampagne ein auffälliges Verhaltensmuster ab: wiederholtes Einschleusen von Prozessen in explorer.exe innerhalb kurzer Zeitabstände. Dieses Muster kann für Verteidiger, die verdächtige Aktivitäten in verschiedenen Phasen des Angriffszyklus korrelieren wollen, ein starkes Signal darstellen.
