Veil#Drop i PureLog Stealer: Blogspot oraz techniki fileless w nowym łańcuchu infekcji - Security Bez Tabu

Veil#Drop i PureLog Stealer: Blogspot oraz techniki fileless w nowym łańcuchu infekcji

Cybersecurity news

Wprowadzenie do problemu / definicja

Veil#Drop to zaawansowany framework dostarczania złośliwego oprogramowania, zaprojektowany z myślą o omijaniu klasycznych mechanizmów ochronnych i skutecznym uruchamianiu stealerów informacji na urządzeniach ofiar. Kampania zwraca uwagę połączeniem zaufanej infrastruktury internetowej, skryptów JavaScript, PowerShella, technik fileless oraz uruchamiania komponentów bez pozostawiania wielu artefaktów na dysku.

W analizowanych przypadkach końcowym ładunkiem był PureLog Stealer, malware wyspecjalizowany w kradzieży danych uwierzytelniających, cookies, tokenów sesyjnych, danych przeglądarek oraz informacji mogących prowadzić do dalszej kompromitacji środowiska.

W skrócie

Badacze opisują Veil#Drop jako wieloetapowy łańcuch infekcji, który zaczyna się od pliku JavaScript podszywającego się pod dokument. Po uruchomieniu skrypt inicjuje PowerShell, pobiera kolejne komponenty z infrastruktury opartej o Blogspot, odszyfrowuje je w pamięci i uruchamia następne etapy ataku.

  • Początek infekcji następuje przez plik JavaScript udający dokument.
  • PowerShell odpowiada za pobranie dalszych payloadów.
  • Wykorzystana została zaufana infrastruktura, w tym Blogspot.
  • Ładunki są rekonstruowane i uruchamiane częściowo w pamięci.
  • Finalnym malware jest PureLog Stealer.

Kontekst / historia

Popularność infostealerów rośnie, ponieważ skradzione hasła, tokeny, sesje i pliki konfiguracyjne mają dużą wartość operacyjną dla cyberprzestępców. Tego typu dane są często wykorzystywane nie tylko do kradzieży informacji, ale także jako punkt wejścia do bardziej zaawansowanych operacji, w tym przejęć kont, oszustw biznesowych czy wdrożeń ransomware.

Veil#Drop dobrze wpisuje się w ten trend, ale pokazuje również zmianę w sposobie dystrybucji malware. Zamiast polegać wyłącznie na oczywiście podejrzanych domenach lub prostych dropperach, operatorzy kampanii wykorzystują legalnie wyglądającą infrastrukturę, kompromitowane witryny i techniki ukrywania aktywności, co znacząco utrudnia szybkie odróżnienie ruchu złośliwego od legalnego.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od pliku JavaScript nazwanego w sposób sugerujący dokument. Taki zabieg socjotechniczny ma skłonić użytkownika do uruchomienia próbki, mimo że w rzeczywistości nie jest to plik biurowy. Po wykonaniu skrypt uruchamia PowerShell i podejmuje próbę obejścia ograniczeń związanych z politykami uruchamiania.

Następnie malware pobiera kolejne komponenty z zasobów hostowanych w serwisie Blogspot. Wykorzystanie rozpoznawalnej i zwykle zaufanej infrastruktury może obniżyć skuteczność prostych filtrów reputacyjnych oraz części mechanizmów blokowania ruchu sieciowego.

W dalszych etapach stosowane są dokumenty-wabiki, które mają uwiarygodnić działanie pliku i ograniczyć podejrzenia użytkownika. Równolegle uruchamiane są elementy przygotowujące środowisko do wykonania kolejnych loaderów oraz końcowego ładunku.

Jednym z ważnych elementów technicznych jest użycie osadzonych komponentów .NET zakodowanych metodą XOR. Zamiast przechowywać je w jawnej postaci na dysku, malware rekonstruuje i odszyfrowuje je dopiero podczas działania. Taki model utrudnia analizę statyczną i ogranicza skuteczność detekcji opartej wyłącznie na sygnaturach.

Veil#Drop wykorzystuje także podejście fileless oraz nadużywa legalnych binariów systemowych typu LOLBIN. Dzięki temu część złośliwych działań wykonywana jest przez narzędzia już obecne w systemie, co może utrudnić wykrycie incydentu przez zespoły SOC i rozwiązania ochronne skupione na prostych wskaźnikach kompromitacji.

Finalnym etapem jest uruchomienie PureLog Stealer, napisanego w .NET malware wyspecjalizowanego w kradzieży danych z przeglądarek i innych aplikacji. Zakres przechwytywanych informacji obejmuje:

  • nazwy użytkowników i hasła zapisane w przeglądarkach,
  • cookies i tokeny sesyjne,
  • dane autouzupełniania,
  • historię przeglądania,
  • informacje z portfeli kryptowalut,
  • dane z komunikatorów, klientów pocztowych, narzędzi FTP i menedżerów haseł,
  • sekrety przechowywane lokalnie przez wybrane aplikacje i narzędzia.

Zebrane dane są następnie pakowane i przesyłane do infrastruktury kontrolowanej przez operatorów kampanii.

Konsekwencje / ryzyko

Ryzyko związane z Veil#Drop nie kończy się na pojedynczej infekcji stacji roboczej. W środowisku firmowym przejęcie jednego hosta może oznaczać kompromitację kont użytkowników, aktywnych sesji przeglądarkowych, sekretów deweloperskich oraz dostępu do usług chmurowych i SaaS.

Szczególnie niebezpieczne są tokeny sesyjne i zapisane poświadczenia, ponieważ mogą umożliwić napastnikom obejście części zabezpieczeń opartych na MFA. Z perspektywy reagowania na incydenty problemem jest także wysoki poziom ukrycia aktywności: JavaScript, PowerShell, ładowanie pamięciowe, XOR, dokumenty-wabiki i LOLBIN-y tworzą łącznie sekwencję zdarzeń, która może wyglądać niepozornie do momentu eksfiltracji danych.

W praktyce infekcja infostealerem często bywa jedynie etapem przygotowawczym do kolejnych operacji. Skradzione dane mogą posłużyć do przejęcia poczty, ruchu lateralnego, ataków BEC, sabotażu, wycieku danych lub wdrożenia ransomware.

Rekomendacje

Organizacje powinny ograniczać możliwość uruchamiania skryptów JavaScript i PowerShella z nieautoryzowanych lokalizacji oraz wdrażać polityki kontroli aplikacji, w tym ograniczenia dla najczęściej nadużywanych LOLBIN-ów. Istotne jest też monitorowanie procesów potomnych uruchamianych przez interpretery skryptowe i łączenie tych zdarzeń z telemetrią sieciową.

Skuteczna obrona przed podobnymi kampaniami powinna obejmować detekcję behawioralną dla sekwencji takich jak uruchomienie skryptu, start PowerShella, pobranie treści z zewnętrznej infrastruktury, rekonstrukcja ładunku w pamięci oraz dostęp do baz danych przeglądarek i magazynów poświadczeń.

  • Egzekwować MFA odporne na przejęcie sesji tam, gdzie jest to możliwe.
  • Minimalizować lokalne przechowywanie sekretów i danych dostępowych.
  • Segmentować dostęp do systemów administracyjnych i usług krytycznych.
  • Monitorować nietypowe logowania z nowych urządzeń lub lokalizacji.
  • Szkolić użytkowników w zakresie plików udających dokumenty i kampanii socjotechnicznych.
  • Wzmacniać EDR/XDR o detekcję odczytu cookies, tokenów i danych przeglądarek.

W przypadku podejrzenia infekcji należy założyć możliwość kradzieży poświadczeń i aktywnych sesji. Reakcja powinna obejmować izolację hosta, reset haseł, unieważnienie sesji, rotację kluczy i sekretów oraz przegląd logów dostępowych do usług chmurowych.

Podsumowanie

Veil#Drop pokazuje, jak skuteczne stają się nowoczesne kampanie malware łączące socjotechnikę, legalnie wyglądającą infrastrukturę, techniki fileless i nadużycie natywnych narzędzi systemowych. To model ataku, który nie opiera się na jednym łatwym do wykrycia artefakcie, ale na wieloetapowym łańcuchu subtelnych działań.

Dla organizacji najważniejszy wniosek jest prosty: infostealery należy traktować jako zagrożenie strategiczne. Nawet pojedyncza kompromitacja stacji roboczej może stać się początkiem znacznie szerszego naruszenia bezpieczeństwa.

Źródła

  1. SecurityWeek — Blogspot-Hosted Payloads Delivered in ‘Veil#Drop’ Attacks — https://www.securityweek.com/blogspot-hosted-payloads-delivered-in-veildrop-attacks/
  2. Securonix Threat Research — Veil#Drop — https://www.securonix.com/blog/veildrop/