SwaetRAT Malware: En dypere titt på dens evner og mål

En villedende trussel med fjerntilgangsmuligheter

SwaetRAT er en sofistikert Remote Access Trojan (RAT) som bruker avanserte unnvikelsesteknikker for å unngå deteksjon og samtidig opprettholde utholdenhet på kompromitterte systemer. Denne .Net-baserte skadelige programvaren er i stand til å utføre kommandoer eksternt, slik at angripere kan manipulere infiserte enheter for ulike ondsinnede formål. Ved å utnytte native Windows-biblioteker og refleksjonsmekanismer, samhandler den med operativsystemet på et lavt nivå, slik at det kan utføre nyttelaster og kontrollere systemprosesser uten å vekke umiddelbar mistanke.

Hvordan SwaetRAT får fotfeste i systemer

For å etablere seg i et system, drar skadelig programvare fordel av interaksjoner på API-nivå. Den bruker live patch-teknikker for å omgå sikkerhetsforsvar, og endre funksjoner som vanligvis oppdager eller logger mistenkelig aktivitet. En slik modifikasjon innebærer å lappe AmsiScanBuffer(), som forhindrer sikkerhetsprogramvare i å analysere skadelige skript. I tillegg endrer skadelig programvare EtwEventWrite(), en funksjon som er ansvarlig for å generere hendelseslogger, og sørger for at aktivitetene forblir uoppdaget av loggingsmekanismer.

SwaetRAT befester sin posisjon ytterligere ved å tukle med ntdll.dll-biblioteket, endre nøkkelfunksjoner for å returnere forhåndsbestemte verdier. Denne tilnærmingen varierer basert på systemets arkitektur, enten det er 32-bit eller 64-bit, og viser dets tilpasningsevne. Når disse modifikasjonene er på plass, fortsetter skadevaren med å dekode og kjøre en Base64-kodet nyttelast som til slutt laster en sammenstilling for videre operasjoner.

En nærmere titt på nyttelasten og utførelsen

Den dekodede nyttelasten er strukturert som en Portable Executable-fil (PE), et standardformat for kjørbare Windows-filer og DLL-er (dynamic-link library). Ved å opprette en forekomst av inngangspunktklassen og påkalle metodene, sikrer SwaetRAT at dens ondsinnede funksjoner blir riktig utført. En av de viktigste unnvikelsestaktikkene inkluderer å kopiere seg selv til %LOCALAPPDATA%\Microsoft\_OneDrive.exe-banen. Denne virkemåten er utformet for å omgå sandkassemiljøer som ofte analyserer filer fra faste kataloger.

For å opprettholde utholdenhet, endrer SwaetRAT systemets register og oppretter oppstartssnarveier. Den skriver den kjørbare banen til en registernøkkel under brukerens programvare-hive, og sikrer at den skadelige prosessen kjører hver gang systemet starter opp. En tilsvarende snarvei i oppstartsmappen henter denne banen, og utfører en PowerShell-kommando for å restarte skadelig programvare, og integrerer seg effektivt i systemets oppstartsprosesser.

Kommunikasjon og kommandoutførelse

Når den er operativ, etablerer skadelig programvare en forbindelse med en kommando-og-kontroll-server (C2), slik at eksterne angripere kan gi instruksjoner. Den dekodede nyttelasten samhandler med en nettklient, og konverterer en sekskantkodet streng til en byte-array før den kjører aspnet_compiler.exe med disse dekodede bytene som argumenter. Denne utførelsesflyten antyder et forsøk på å kjøre ytterligere ondsinnet kode under dekke av legitime systemprosesser.

Identifiserte varianter og tidligere observasjoner

SwaetRAT har blitt koblet til kampanjer analysert i 2023. Skadevareeksemplet som ble undersøkt i det tilfellet beholdt de samme RAT-funksjonene og var assosiert med en C2-server lokalisert på 144.126.149.221:7777. Et bemerkelsesverdig kjennetegn ved denne prøven var replikeringen til % APPDATA%CCleaner.exe-katalogen, noe som indikerer forsøket på å maskere seg som et velkjent programvareverktøy. Interessant nok gjorde mangelen på tilsløring i denne varianten det lettere for analytikere å trekke ut fjerntilgangsfunksjonene og kommunikasjonsmønstrene.

Implikasjonene av SwaetRATs aktiviteter

Tilstedeværelsen av SwaetRAT på en enhet kan føre til betydelige sikkerhetsproblemer. Gitt funksjonene for fjerntilgang, kan angripere utføre vilkårlige kommandoer, manipulere filer eller distribuere ytterligere skadelige nyttelaster. Videre betyr dens evne til å unngå oppdagelse og opprettholde utholdenhet at kompromitterte systemer kan forbli under angriperkontroll i lengre perioder uten at brukere legger merke til mistenkelig aktivitet.

Å forstå taktikken som brukes av trusler som SwaetRAT er avgjørende for alle når de skal implementere effektivt forsvar. Regelmessige sikkerhetsoppdateringer, overvåking for uvanlige systemendringer og bruk av robuste endepunktbeskyttelsestiltak kan bidra til å redusere risikoen som slike trusler utgjør. Ved å holde seg informert og årvåken kan brukere bedre beskytte sine digitale miljøer mot snikende inntrengninger som SwaetRAT.