SwaetRAT Malware: En djupare titt på dess kapacitet och mål
Table of Contents
Ett bedrägligt hot med fjärråtkomstfunktioner
SwaetRAT är en sofistikerad Remote Access Trojan (RAT) som använder avancerade evasion-tekniker för att undvika upptäckt och samtidigt bibehålla uthållighet på komprometterade system. Denna .Net-baserade skadliga programvara kan köra kommandon på distans, vilket gör att angripare kan manipulera infekterade enheter för olika skändliga syften. Genom att utnyttja inbyggda Windows-bibliotek och reflektionsmekanismer interagerar det med operativsystemet på en låg nivå, vilket gör att det kan exekvera nyttolaster och styra systemprocesser utan att väcka omedelbar misstanke.
Hur SwaetRAT får fotfäste i system
För att etablera sig i ett system drar skadlig programvara fördel av interaktioner på API-nivå. Den använder live patchtekniker för att kringgå säkerhetsförsvar, modifiera funktioner som vanligtvis upptäcker eller loggar misstänkt aktivitet. En sådan modifiering innefattar patchning av AmsiScanBuffer(), vilket förhindrar säkerhetsprogramvara från att analysera skadliga skript. Dessutom ändrar skadlig programvara EtwEventWrite(), en funktion som ansvarar för att generera händelseloggar, vilket säkerställer att dess aktiviteter förblir oupptäckta av loggningsmekanismer.
SwaetRAT befäster sin position ytterligare genom att manipulera ntdll.dll-biblioteket, modifiera nyckelfunktioner för att returnera förutbestämda värden. Detta tillvägagångssätt varierar beroende på systemets arkitektur, oavsett om det är 32-bitars eller 64-bitars, vilket visar dess anpassningsförmåga. När dessa ändringar är på plats fortsätter skadlig programvara att avkoda och köra en Base64-kodad nyttolast som slutligen laddar en sammansättning för ytterligare operationer.
En närmare titt på dess nyttolast och utförande
Den avkodade nyttolasten är strukturerad som en Portable Executable (PE) fil, ett standardformat för Windows körbara filer och dynamiska länkbibliotek (DLL). Genom att skapa en instans av dess ingångspunktsklass och anropa dess metoder, säkerställer SwaetRAT att dess skadliga funktioner exekveras korrekt. En av dess viktigaste undanflyktstaktik inkluderar att kopiera sig själv till %LOCALAPPDATA%\Microsoft\_OneDrive.exe-sökvägen. Det här beteendet är utformat för att kringgå sandlådemiljöer som ofta analyserar filer från fasta kataloger.
För att bibehålla uthållighet modifierar SwaetRAT systemets register och skapar startgenvägar. Den skriver sin körbara sökväg till en registernyckel under användarens mjukvaruhive, vilket säkerställer att den skadliga processen körs varje gång systemet startar. En motsvarande genväg i Startup-mappen hämtar den här sökvägen och kör ett PowerShell-kommando för att återstarta skadlig programvara, vilket effektivt bäddar in sig själv i systemets startprocesser.
Kommunikation och kommandoexekvering
När den skadliga programvaran är i drift upprättar den en anslutning till en kommando-och-kontroll-server (C2), vilket gör att fjärrangripare kan utfärda instruktioner. Den avkodade nyttolasten interagerar med en webbklient och konverterar en hex-kodad sträng till en byte-array innan den körs aspnet_compiler.exe med dessa avkodade bytes som argument. Detta exekveringsflöde föreslår ett försök att köra ytterligare skadlig kod under sken av legitima systemprocesser.
Identifierade varianter och tidigare observationer
SwaetRAT har kopplats till kampanjer som analyserades 2023. Provet av skadlig programvara som undersöktes i det fallet behöll samma RAT-funktioner och var associerat med en C2-server på 144.126.149.221:7777. En anmärkningsvärd egenskap hos detta prov var dess replikering till katalogen % APPDATA%CCleaner.exe, vilket indikerar dess försök att maskera sig som ett välkänt programvaruverktyg. Intressant nog gjorde avsaknaden av förvirring i denna variant det lättare för analytiker att extrahera dess fjärråtkomstfunktioner och kommunikationsmönster.
Konsekvenserna av SwaetRATs aktiviteter
Närvaron av SwaetRAT på en enhet kan leda till betydande säkerhetsproblem. Med tanke på dess fjärråtkomstfunktioner kan angripare utföra godtyckliga kommandon, manipulera filer eller distribuera ytterligare skadliga nyttolaster. Dessutom innebär dess förmåga att undvika upptäckt och upprätthålla uthållighet att komprometterade system kan förbli under angriparens kontroll under längre perioder utan att användarna märker någon misstänkt aktivitet.
Att förstå taktiken som används av hot som SwaetRAT är avgörande för att alla ska kunna implementera effektiva försvar. Regelbundna säkerhetsuppdateringar, övervakning av ovanliga systemändringar och användning av robusta slutpunktsskyddsåtgärder kan hjälpa till att minska riskerna med sådana hot. Genom att hålla sig informerade och vaksamma kan användare bättre skydda sina digitala miljöer från smygande intrång som SwaetRAT.
