PyXieRATはパスワードを盗むことができます, ビデオを録画してランサムウェアを入手

新しいPythonRAT (リモートアクセス型トロイの木馬) セキュリティ研究者によって発見されたばかりです. PyXieと呼ばれる, トロイの木馬は、それ以来、野生で観察されています 2018, または多分もっと早く, しかし、これまで深く分析されていません.

Pyxie RAT: 技術概要

BlackBerryCylanceの研究者によると, PyXieは、いくつかの業界に対する攻撃に使用されています. 分析によると、マルウェアは コバルトストライク と同様のダウンローダー 師父.

調査チームは、感染したホストでRATが特定された複数のインシデント対応エンゲージメントを実行することができました。. この情報のおかげで, 研究者はマルウェアの「主なハイライト」キャンペーンで見られる:

• ペイロードのサイドローディングに使用される正規のLogMeInおよびGoogleバイナリ.
• 内部ネットワーク共有からCobaltStrikeステージャーをロードして実行するためのトロイの木馬化されたTetrisアプリ.
• 名前が付けられたShifuに類似したダウンローダーの使用 “コバルトモード”.
• 被害者からActiveDirectory情報を収集するためのSharpHoundの使用.
• スクランブルされたオペコードを使用して分析を妨げるカスタムコンパイル済みPythonインタープリター.
• 変更されたRC4アルゴリズムを使用して、感染したホストごとに一意のキーでペイロードを暗号化します.

PyXie RAT: 分布

RATは、正当なアプリケーションを利用したサイドローディング技術の助けを借りて配布されます. このようなアプリの例は、オープンソースのテトリスゲームのトロイの木馬化バージョンです。. 潜在的な被害者がゲームをダウンロードした場合, また、知らないうちに悪意のあるペイロードをダウンロードします. マルウェアはPowerShellを使用して特権を昇格させ、感染したホストで永続性を実現します.

すでに述べたように, PyXieは、Cobaltモードを使用してコマンドおよび制御サーバーに接続し、操作の最終的なペイロードをダウンロードします。.

として レポートで説明されています, Cobalt Modeの主な目的には、コマンドアンドコントロールサーバーへの接続など、いくつかのフェーズが含まれます。, 暗号化されたペイロードをダウンロードして復号化する, 現在のプロセスのアドレス空間でのペイロードのマッピングと実行, コードインジェクションのための新しいプロセスを生み出します.

関連している: CStealerトロイの木馬がChromeからパスワードを盗む, それらをリモートデータベースに送信します

コバルトモードでは、一連の環境チェックを実行して、サンドボックスまたは仮想マシンのどちらから実行されているかを判断できることは注目に値します。 (VM). スマートカードリーダーが接続されているかどうかも判断できます, リクエストが中間者攻撃で傍受されているかどうか (MitM) 攻撃.

最終段階のペイロードについて, それは「実行可能ファイルにコンパイルされたフル機能のPythonRAT」. 悪意のあるコードの作成者は、Py2ExeまたはPyInstallerを使用して実行可能ファイルを作成する代わりに、独自のPythonインタープリターをコンパイルしました.

ついに, PyXie RATの機能には、man-in-the-middleインターセプトが含まれます, ウェブインジェクション, キーロガー機能, クレデンシャルハーベスティング, ネットワークスキャン, クッキーの盗難, ログのクリア, ビデオの録画, 任意のペイロードを実行する, USBドライブの監視とデータの盗み出し, WebDavサーバーとSocks5プロキシ, VNC接続, 証明書の盗難, チェックソフトウェア, シャープハウンドでドメインを列挙する.

PyXieRATはランサムウェアキャンペーンでも使用されます

研究者はまた、PyXieがいくつかのランサムウェア攻撃で使用されているという証拠を見てきました. この場合, ローダーはトロイの木馬化されたオープンソースのテトリスゲームです, として知られている暗号化されたシェルコードペイロードをロードします settings.dat 内部ネットワーク共有から.