Вредоносное ПО SwaetRAT: более глубокий взгляд на его возможности и цели
Table of Contents
Обманчивая угроза с возможностью удаленного доступа
SwaetRAT — это сложный троян удаленного доступа (RAT), который использует передовые методы уклонения, чтобы избежать обнаружения, сохраняя при этом устойчивость на скомпрометированных системах. Эта вредоносная программа на основе .Net способна выполнять команды удаленно, позволяя злоумышленникам манипулировать зараженными устройствами в различных гнусных целях. Используя собственные библиотеки Windows и механизмы отражения, он взаимодействует с операционной системой на низком уровне, что позволяет ему выполнять полезные нагрузки и управлять системными процессами, не вызывая немедленного подозрения.
Как SwaetRAT закрепляется в системах
Чтобы закрепиться в системе, вредоносная программа использует взаимодействие на уровне API. Она использует методы оперативного исправления для обхода защиты безопасности, изменяя функции, которые обычно обнаруживают или регистрируют подозрительную активность. Одна из таких модификаций включает исправление AmsiScanBuffer(), что не позволяет программному обеспечению безопасности анализировать вредоносные скрипты. Кроме того, вредоносная программа изменяет EtwEventWrite(), функцию, отвечающую за генерацию журналов событий, гарантируя, что ее действия останутся незамеченными механизмами регистрации.
SwaetRAT еще больше укрепляет свои позиции, вмешиваясь в библиотеку ntdll.dll, изменяя ключевые функции для возврата предопределенных значений. Этот подход варьируется в зависимости от архитектуры системы, будь то 32- или 64-разрядная, демонстрируя свою адаптивность. После внесения этих изменений вредоносная программа приступает к декодированию и выполнению полезной нагрузки, закодированной в Base64, которая в конечном итоге загружает сборку для дальнейших операций.
Более пристальный взгляд на его полезную нагрузку и исполнение
Раскодированная полезная нагрузка структурирована как файл Portable Executable (PE), стандартный формат для исполняемых файлов Windows и динамически подключаемых библиотек (DLL). Создавая экземпляр своего класса точки входа и вызывая его методы, SwaetRAT обеспечивает надлежащее выполнение своих вредоносных функций. Одна из его ключевых тактик уклонения включает копирование себя в путь %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Такое поведение предназначено для обхода сред-песочниц, которые часто анализируют файлы из фиксированных каталогов.
Для поддержания устойчивости SwaetRAT изменяет системный реестр и создает ярлыки запуска. Он записывает свой путь к исполняемому файлу в раздел реестра в кусте программного обеспечения пользователя, гарантируя, что вредоносный процесс будет запускаться каждый раз при загрузке системы. Соответствующий ярлык в папке «Автозагрузка» извлекает этот путь, выполняя команду PowerShell для повторного запуска вредоносного ПО, эффективно внедряясь в процессы запуска системы.
Связь и выполнение команд
После запуска вредоносная программа устанавливает соединение с сервером управления и контроля (C2), что позволяет удаленным злоумышленникам отдавать инструкции. Декодированная полезная нагрузка взаимодействует с веб-клиентом, преобразуя шестнадцатеричную строку в массив байтов перед выполнением aspnet_compiler.exe с этими декодированными байтами в качестве аргументов. Этот поток выполнения предполагает попытку запустить дополнительный вредоносный код под видом легитимных системных процессов.
Выявленные варианты и предыдущие наблюдения
SwaetRAT был связан с кампаниями, проанализированными в 2023 году. Образец вредоносного ПО, исследованный в этом случае, сохранил те же функции RAT и был связан с сервером C2, расположенным по адресу 144.126.149.221:7777. Примечательной характеристикой этого образца была его репликация в каталог % APPDATA%CCleaner.exe, что указывает на его попытку маскироваться под известную программную утилиту. Интересно, что отсутствие обфускации в этом варианте облегчило аналитикам извлечение его возможностей удаленного доступа и шаблонов связи.
Последствия деятельности SwaetRAT
Наличие SwaetRAT на устройстве может привести к серьезным проблемам безопасности. Учитывая его функции удаленного доступа, злоумышленники могут выполнять произвольные команды, манипулировать файлами или развертывать дополнительные вредоносные нагрузки. Кроме того, его способность избегать обнаружения и сохранять устойчивость означает, что скомпрометированные системы могут оставаться под контролем злоумышленника в течение длительного времени, и пользователи не заметят никакой подозрительной активности.
Понимание тактики, используемой такими угрозами, как SwaetRAT, имеет решающее значение для всех при внедрении эффективной защиты. Регулярные обновления безопасности, мониторинг необычных изменений системы и применение надежных мер защиты конечных точек могут помочь снизить риски, связанные с такими угрозами. Оставаясь информированными и бдительными, пользователи могут лучше защитить свои цифровые среды от скрытых вторжений, таких как SwaetRAT.
