VEIL#DROP wykorzystuje Blogger do dostarczania PureLogs Stealer - Security Bez Tabu

VEIL#DROP wykorzystuje Blogger do dostarczania PureLogs Stealer

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali nowy, wieloetapowy łańcuch infekcji o nazwie VEIL#DROP, którego celem jest dostarczenie infostealera PureLogs. Kampania łączy socjotechnikę, wykorzystanie zaufanej infrastruktury internetowej oraz bezplikowe techniki wykonania kodu, co znacząco utrudnia wykrycie i analizę incydentu.

To kolejny przykład nowoczesnego malware, które nie opiera się wyłącznie na pojedynczym pliku wykonywalnym, ale wykorzystuje kilka etapów pośrednich, legalne narzędzia systemowe i uruchamianie kodu z pamięci. W praktyce oznacza to większą odporność na klasyczne mechanizmy ochronne bazujące na sygnaturach.

W skrócie

Łańcuch VEIL#DROP rozpoczyna się od pliku JavaScript podszywającego się pod dokument, na przykład plik PDF. Po uruchomieniu skrypt wywołuje PowerShell z parametrami omijającymi polityki wykonania, pobiera kolejne etapy z infrastruktury opartej na Bloggerze, a następnie uruchamia komponenty odpowiedzialne za dostarczenie PureLogs Stealer.

  • Punkt wejścia stanowi plik JavaScript imitujący dokument.
  • PowerShell pobiera kolejne etapy infekcji z zaufanej platformy internetowej.
  • Malware stosuje dynamiczne generowanie adresów URL i mutację kodu.
  • Końcowy payload .NET uruchamiany jest bezpośrednio z pamięci.
  • W razie potrzeby operatorzy nadużywają legalnych narzędzi systemowych typu LOLBin.

Kontekst / historia

W ostatnich latach cyberprzestępcy coraz częściej wykorzystują legalne i powszechnie zaufane usługi internetowe do dostarczania złośliwego kodu. Takie podejście utrudnia blokowanie ruchu na podstawie reputacji domeny i sprawia, że złośliwa aktywność łatwiej ukrywa się wśród zwykłego ruchu sieciowego.

VEIL#DROP wpisuje się w ten trend, łącząc klasyczne techniki wejścia, takie jak spear-phishing lub kompromitacja witryny odwiedzanej przez ofiarę, z bardziej zaawansowanymi mechanizmami unikania detekcji. Wybór końcowego ładunku także nie jest przypadkowy. PureLogs to stealer oparty o platformę .NET, zaprojektowany do kradzieży danych uwierzytelniających, informacji z przeglądarek oraz innych poufnych artefaktów z systemu ofiary.

Tego rodzaju złośliwe oprogramowanie często pełni rolę nie tylko narzędzia do jednorazowej kradzieży danych, ale również etapu przygotowawczego do dalszych działań intruza. Skradzione informacje mogą zostać wykorzystane do przejęcia kont, ruchu bocznego w środowisku czy eskalacji całego incydentu do znacznie poważniejszego naruszenia.

Analiza techniczna

Początek infekcji stanowi plik JavaScript nazwany w sposób sugerujący legalny dokument, często z wieloczłonowym rozszerzeniem mającym zmylić użytkownika. Po uruchomieniu przez Windows Script Host skrypt inicjuje PowerShell z parametrami pozwalającymi ominąć standardowe ograniczenia wykonania.

Następnie malware pobiera kolejny etap z zasobu osadzonego w usłudze Blogger. To istotny element całej operacji, ponieważ wykorzystanie popularnej infrastruktury utrudnia filtrowanie ruchu wyłącznie na podstawie reputacji hosta. Dodatkowo pobrany skrypt może otworzyć nieszkodliwą stronę internetową, aby stworzyć użytkownikowi wrażenie, że oczekiwany dokument został poprawnie wyświetlony.

Loader odpowiada za kilka funkcji zaciemniających i defensywnych. Próbuje usuwać artefakty wykonania, kończyć wybrane procesy i odszyfrowywać osadzony payload z użyciem XOR. W dalszej fazie generuje kolejny etap dynamicznie, zamiast korzystać ze stałych, łatwych do wykrycia wskaźników kompromitacji.

Szczególnie istotne jest dynamiczne budowanie lokalizacji następnego ładunku w czasie wykonania, między innymi przez modyfikowanie struktury ścieżki URL. Tego typu podejście ogranicza skuteczność prostych sygnatur URL, list IOC oraz reguł opartych wyłącznie na statycznych wskaźnikach.

Malware wykorzystuje również mutację kodu w czasie wykonania. Zastępowanie symboli zastępczych losowymi ciągami znaków powoduje, że poszczególne próbki mogą różnić się między sobą, co obniża skuteczność klasycznych detekcji opartych na hashach i statycznych regułach skryptowych.

Końcowy komponent uruchamiany jest bezpośrednio z pamięci przy użyciu reflective loading dla assembly .NET. Ogranicza to obecność plików na dysku i zmniejsza liczbę artefaktów, które mogłyby zostać wykryte przez tradycyjne oprogramowanie ochronne. Jeśli jednak taka ścieżka wykonania nie powiedzie się, operatorzy mają przygotowaną metodę zapasową.

Łańcuch wykorzystuje legalne, podpisane przez Microsoft narzędzia systemowe, takie jak regsvcs.exe, installutil.exe, msbuild.exe czy aspnet_compiler.exe. To przykład nadużycia binariów living-off-the-land, przy czym w tym przypadku atakujący nie polegają na jednym narzędziu, lecz stosują model kaskadowy i próbują kolejnych metod aż do skutecznego uruchomienia ładunku.

Konsekwencje / ryzyko

Ryzyko związane z VEIL#DROP wykracza poza pojedynczą stację roboczą. PureLogs jako infostealer może przechwytywać dane logowania, informacje z przeglądarek, tokeny sesyjne i inne poufne dane, które następnie posłużą do przejęcia kont oraz dalszej penetracji środowiska organizacji.

Z perspektywy zespołów SOC problemem jest wysoki poziom ukrycia aktywności. Kampania łączy socjotechnikę, zaufaną infrastrukturę chmurową, zaciemnianie, wykonanie w pamięci oraz LOLBiny. W efekcie tradycyjne mechanizmy antywirusowe mogą nie wykryć całego łańcucha, a jedynie pojedyncze jego elementy.

Dodatkowym zagrożeniem jest możliwość wykorzystania skradzionych danych jako punktu wejścia do kolejnych etapów operacji. Może to obejmować utrzymanie dostępu, nadużycie tożsamości, ruch boczny oraz eskalację ataku do systemów o większym znaczeniu biznesowym.

Rekomendacje

Organizacje powinny ograniczyć możliwość uruchamiania skryptów przez Windows Script Host, szczególnie tam, gdzie nie jest to wymagane operacyjnie. Ważne jest również wdrożenie ścisłych reguł dla PowerShell, w tym rejestrowania skryptów, monitorowania prób obejścia polityk wykonania oraz analizy nietypowych relacji parent-child pomiędzy procesami.

Kluczowe znaczenie ma monitorowanie ruchu do zaufanych usług chmurowych pod kątem anomalii, a nie wyłącznie reputacji domen. Platformy hostujące treści użytkowników powinny być analizowane pod kątem nietypowych pobrań skryptów, sekwencji przekierowań oraz korelacji z lokalnym uruchamianiem interpreterów i loaderów.

  • Wdrożyć detekcję zachowań związanych z reflective loading i wykonaniem kodu z pamięci.
  • Monitorować nietypowe użycie LOLBinów, takich jak msbuild.exe czy installutil.exe.
  • Stosować application control i zasadę najmniejszych uprawnień.
  • Segmentować dostęp do zasobów oraz wzmacniać ochronę tożsamości.
  • Wymuszać MFA dla kont uprzywilejowanych i usług chmurowych.
  • Analizować podejrzane załączniki i skrypty w sandboxie przed dopuszczeniem do uruchomienia.

Nie mniej ważna pozostaje edukacja użytkowników końcowych. Pliki podszywające się pod dokumenty, zwłaszcza z wieloma rozszerzeniami, nadal są skutecznym nośnikiem infekcji. Szkolenia z rozpoznawania prób socjotechnicznych powinny być uzupełnione o techniczne mechanizmy kontroli uruchamiania skryptów.

Podsumowanie

VEIL#DROP pokazuje, jak dojrzałe stały się współczesne łańcuchy malware. Połączenie fałszywych dokumentów, PowerShell, infrastruktury Blogger, dynamicznych adresów URL, mutacji kodu, wykonania w pamięci i nadużycia LOLBinów tworzy kampanię trudną do wykrycia i skuteczną operacyjnie.

Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od wyłącznego polegania na sygnaturach i prostych IOC. Skuteczna obrona wymaga analizy zachowania procesów, telemetrii pamięci, korelacji zdarzeń oraz ścisłej kontroli tożsamości i uprawnień w całym środowisku.

Źródła

  1. VEIL#DROP Malware Chain Uses Blogger Platform to Deliver PureLogs Stealer
  2. MITRE ATT&CK: Drive-by Compromise
  3. MITRE ATT&CK: Reflective Code Loading
  4. LOLBAS Project
  5. Securonix Threat Research