SwaetRAT Malware: een diepere blik op de mogelijkheden en doelstellingen ervan

Een misleidende bedreiging met mogelijkheden voor externe toegang

SwaetRAT is een geavanceerde Remote Access Trojan (RAT) die geavanceerde ontwijkingstechnieken gebruikt om detectie te voorkomen en tegelijkertijd persistentie te behouden op gecompromitteerde systemen. Deze op .Net gebaseerde malware kan op afstand opdrachten uitvoeren, waardoor aanvallers geïnfecteerde apparaten kunnen manipuleren voor verschillende kwaadaardige doeleinden. Door gebruik te maken van native Windows-bibliotheken en reflectiemechanismen, communiceert het op een laag niveau met het besturingssysteem, waardoor het payloads kan uitvoeren en systeemprocessen kan controleren zonder onmiddellijk argwaan te wekken.

Hoe SwaetRAT voet aan de grond krijgt in systemen

Om zichzelf binnen een systeem te vestigen, maakt de malware gebruik van interacties op API-niveau. Het gebruikt live patchingtechnieken om beveiligingsverdedigingen te omzeilen en wijzigt functies die doorgaans verdachte activiteiten detecteren of loggen. Een van die wijzigingen is het patchen van AmsiScanBuffer(), dat voorkomt dat beveiligingssoftware kwaadaardige scripts analyseert. Bovendien wijzigt de malware EtwEventWrite(), een functie die verantwoordelijk is voor het genereren van gebeurtenislogboeken, en zorgt ervoor dat zijn activiteiten onopgemerkt blijven door logmechanismen.

SwaetRAT verstevigt zijn positie verder door te knoeien met de ntdll.dll-bibliotheek, door sleutelfuncties te wijzigen om vooraf bepaalde waarden te retourneren. Deze aanpak varieert op basis van de architectuur van het systeem, of het nu 32-bits of 64-bits is, wat zijn aanpasbaarheid laat zien. Zodra deze wijzigingen zijn doorgevoerd, gaat de malware verder met het decoderen en uitvoeren van een Base64-gecodeerde payload die uiteindelijk een assembly laadt voor verdere bewerkingen.

Een nadere blik op de lading en uitvoering ervan

De gedecodeerde payload is gestructureerd als een Portable Executable (PE) bestand, een standaardformaat voor Windows-uitvoerbare bestanden en dynamische-linkbibliotheken (DLL's). Door een instantie van zijn entry-point-klasse te maken en zijn methoden aan te roepen, zorgt SwaetRAT ervoor dat zijn kwaadaardige functionaliteiten correct worden uitgevoerd. Een van zijn belangrijkste ontwijkingstechnieken omvat het kopiëren van zichzelf naar het pad %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Dit gedrag is ontworpen om sandbox-omgevingen te omzeilen die vaak bestanden uit vaste mappen analyseren.

Om persistentie te behouden, wijzigt SwaetRAT het register van het systeem en creëert opstartsnelkoppelingen. Het schrijft het uitvoerbare pad naar een registersleutel onder de Software-hive van de gebruiker, waardoor het schadelijke proces elke keer wordt uitgevoerd wanneer het systeem opstart. Een overeenkomstige snelkoppeling in de map Opstarten haalt dit pad op en voert een PowerShell-opdracht uit om de malware opnieuw te starten, waardoor het zichzelf effectief in de opstartprocessen van het systeem inbedt.

Communicatie en uitvoering van opdrachten

Zodra de malware operationeel is, maakt deze verbinding met een command-and-control (C2)-server, waardoor externe aanvallers instructies kunnen geven. De gedecodeerde payload communiceert met een webclient en converteert een hex-gecodeerde string naar een byte-array voordat aspnet_compiler.exe wordt uitgevoerd met deze gedecodeerde bytes als argumenten. Deze uitvoeringsstroom suggereert een poging om verdere kwaadaardige code uit te voeren onder het mom van legitieme systeemprocessen.

Geïdentificeerde varianten en eerdere observaties

SwaetRAT is gekoppeld aan campagnes die in 2023 zijn geanalyseerd. Het malwaremonster dat in dat geval werd onderzocht, behield dezelfde RAT-functionaliteiten en was gekoppeld aan een C2-server op 144.126.149.221:7777. Een opvallend kenmerk van dit monster was de replicatie ervan in de directory % APPDATA%CCleaner.exe, wat aangeeft dat het probeerde zich voor te doen als een bekend softwarehulpprogramma. Interessant genoeg maakte het gebrek aan verduistering in deze variant het voor analisten gemakkelijker om de mogelijkheden voor externe toegang en communicatiepatronen te extraheren.

De implicaties van de activiteiten van SwaetRAT

De aanwezigheid van SwaetRAT op een apparaat kan leiden tot aanzienlijke beveiligingsproblemen. Gezien de functies voor externe toegang kunnen aanvallers willekeurige opdrachten uitvoeren, bestanden manipuleren of extra kwaadaardige payloads implementeren. Bovendien betekent het vermogen om detectie te omzeilen en persistentie te behouden dat gecompromitteerde systemen langere tijd onder controle van de aanvaller kunnen blijven zonder dat gebruikers verdachte activiteiten opmerken.

Het begrijpen van de tactieken die worden gebruikt door bedreigingen zoals SwaetRAT is cruciaal voor iedereen die effectieve verdedigingen implementeert. Regelmatige beveiligingsupdates, monitoring op ongebruikelijke systeemwijzigingen en het inzetten van robuuste endpoint-beveiligingsmaatregelen kunnen helpen de risico's van dergelijke bedreigingen te beperken. Door geïnformeerd en waakzaam te blijven, kunnen gebruikers hun digitale omgevingen beter beschermen tegen heimelijke indringers zoals SwaetRAT.

Tegen Willa
January 7, 2025
Malware, Trojan
Nederlands
January 7, 2025
Malware, Trojan

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.