Een nieuwe Python RAT (Remote Access Trojan) was net ontdekt door security onderzoekers. Called pyxie, de Trojan is waargenomen in het wild sinds 2018, of misschien zelfs eerder, maar is nog niet diep geanalyseerd tot nu toe.
pyxie RAT: technisch overzicht
Volgens BlackBerry Cylance onderzoekers, Pyxie wordt gebruikt in aanvallen op diverse industrieën. De analyse laat zien dat de malware is ingezet in combinatie met Cobalt Strike en een downloader vergelijkbaar met Shifu.
Het onderzoeksteam was in staat om meerdere incident response opdrachten waarbij de rat werd geïdentificeerd op geïnfecteerde hosts te voeren. Dankzij deze informatie, de onderzoekers schetste de malware's “hoofdzaken”Gezien in campagnes:
- Legitieme LogMeIn en Google binaries gebruikt om sideloaden payloads.
- Een Trojanized Tetris app te laden en uit te voeren Cobalt Strike stagers vanuit het interne netwerk shares.
- Gebruik van een downloader met gelijkenissen met Shifu genoemd “Cobalt Mode”.
- Het gebruik van Sharphound om Active Directory-gegevens van slachtoffers te verzamelen.
- Een aangepaste gecompileerde Python-interpreter dat toepassingen roerei opcodes te belemmeren analyse.
- Het gebruik van een aangepaste RC4-algoritme te versleutelen payloads met een unieke sleutel per geïnfecteerde gastheer.
pyxie RAT: Distributie
De rat wordt verspreid met de hulp van een sideloading techniek gebruik te maken van legitieme applicaties. Een voorbeeld van een dergelijke app is een trojanized versie van een open-source spel Tetris. Als de potentiële slachtoffer downloadt het spel, ze zullen ook de kwaadaardige lading te downloaden zonder het te weten. De malware gebruik PowerShell om privileges escaleren en doorzettingsvermogen te bereiken op de geïnfecteerde gastheer.
Zoals reeds gezegd, Pyxie gebruikt Cobalt-modus om verbinding met een command and control-server om de laatste lading van de operatie te downloaden.
Als toegelicht in het verslag, het hoofddoel van kobalt modus omvat verscheidene fasen zoals het verbinden met de command and control server, downloding een gecodeerde payload en te decoderen, in kaart brengen en uitvoeren van de lading in de adresruimte van het huidige proces, en paaien een nieuw proces voor de code-injectie.
Verwant: CStealer Trojan steelt wachtwoorden van Chrome, Stuurt ze naar Remote Database
Het is opmerkelijk dat het Cobalt-modus een reeks milieu-controles kunnen uitvoeren om te bepalen of het wordt uitgevoerd uit een zandbak of virtuele machine (VM). Ook kan bepalen of een smartcardlezer is bevestigd, en of de verzoeken worden onderschept met een man-in-the-middle (MitM) aanval.
Wat betreft de laatste fase payload, het is "een full-featured Python RAT gecompileerd tot een uitvoerbaar". De auteurs van de kwaadaardige code gecompileerd hun eigen Python-interpreter in plaats van het gebruik van py2exe of PyInstaller naar het uitvoerbare creëren.
Eindelijk, de mogelijkheden van pyxie RAT onder meer man-in-the-middle interceptie, web injecties, keylogging functionaliteiten, credential oogsten, netwerkscannen, diefstal koekje, clearing logs, video-opname, running willekeurige payloads, het bewaken van USB-drives en exfiltrating data, WebDAV-server en Socks5 proxy, VNC-verbinding, diefstal certificaat, controle software, en het opsommen van het domein met Sharphound.
Pyxie RAT Ook gebruikt in Ransomware Campagnes
De onderzoekers hebben ook gezien het bewijs van pyxie wordt gebruikt in verschillende ransomware aanslagen. In dit geval, de lader is een trojanized open source Tetris Game, welke belastingen een gecodeerd commandoregelcode payload bekend als settings.dat vanuit een interne aandeel netwerk.