多阶段VOID#GEIST恶意软件传播XWorm、AsyncRAT和Xeno RAT

网络安全研究人员披露了一项多阶段恶意软件攻击活动的详细信息，该活动使用批处理脚本作为传播途径，投放与XWorm、AsyncRAT和Xeno RAT相对应的各种加密远程访问木马（RAT）载荷。

Securonix威胁研究团队将这一隐蔽的攻击链命名为VOID#GEIST。

从宏观层面来看，经过混淆的批处理脚本被用于部署第二个批处理脚本，植入一个合法的嵌入式Python运行时环境，并解密加密的shellcode代码块。这些代码块通过一种名为Early Bird异步过程调用（APC）注入的技术，被注入到独立的"explorer.exe"实例中，直接在内存中执行。

研究人员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在与The Hacker News分享的技术报告中表示："现代恶意软件攻击活动越来越多地从独立可执行文件转向复杂的基于脚本的传播框架，这些框架高度模仿合法用户活动。攻击者不再部署传统的PE二进制文件，而是利用模块化管道，包括用于编排的批处理脚本、用于隐蔽植入的PowerShell、用于可移植性的合法嵌入式运行时环境，以及直接在内存中执行的原始shellcode来实现持久化和控制。"

这种无文件执行机制最大限度地减少了基于磁盘的检测机会，从而使威胁行为者能够在受感染的系统中运行而不触发安全警报。此外，这种方法还提供了一个额外的优势，即这些单独的阶段在孤立状态下看起来是无害的，类似于常规的管理活动。

攻击的起点是一个从TryCloudflare域获取的批处理脚本，通过钓鱼邮件分发。一旦启动，它故意避免采取提升权限的步骤，利用当前登录用户的权限来建立初始立足点，同时融入看似无害的管理操作中。

初始阶段充当启动平台，通过全屏启动Google Chrome来显示一个诱饵PDF。显示的财务文档或发票充当视觉干扰，以掩盖幕后发生的事情。这包括启动PowerShell命令重新执行原始批处理脚本，例如使用-WindowStyle Hidden参数来避免显示控制台窗口。

为了确保在系统重启后的持久性，一个辅助批处理脚本被放置在Windows用户的启动目录中，以便每次受害者登录系统时自动执行。故意不使用更具侵入性的持久化方法，因为这会减少取证痕迹。

研究人员表示："从技术上讲，这种持久化方法完全在当前用户的权限上下文中运行。它不修改系统级注册表项，不创建计划任务，也不安装服务。相反，它依赖于标准的用户级启动行为，不需要提升权限，产生的安全摩擦最小。这种设计选择降低了触发权限提升提示或注册表监控警报的可能性。"

下一阶段开始时，恶意软件会连接到TryCloudflare域以获取ZIP压缩包形式的额外载荷，其中包含多个文件：

runn.py，一个基于Python的加载器脚本，负责解密加密的shellcode载荷模块并将其注入内存

new.bin，对应XWorm的加密shellcode载荷

xn.bin，对应Xeno RAT的加密shellcode载荷

pul.bin，对应AsyncRAT的加密shellcode载荷

a.json、n.json和p.json，包含Python加载器在运行时动态解密shellcode所需的解密密钥的密钥文件

文件提取后，攻击序列直接从python[.]org部署一个合法的嵌入式Python运行时环境。这一步骤提供了几个优势。首先，它消除了对系统的任何依赖。因此，即使受感染的终端没有安装Python，恶意软件也可以继续运行。

Securonix表示："从攻击者的角度来看，这一阶段的目标是可移植性、可靠性和隐蔽性。通过将合法的解释器嵌入到植入目录中，恶意软件将自己转变为一个完全独立的执行环境，能够在不依赖外部系统组件的情况下解密和注入载荷模块。"

攻击的主要目标是利用Python运行时环境启动"runn.py"，然后使用Early Bird APC注入技术解密并运行XWorm载荷。恶意软件还利用合法的微软二进制文件"AppInstallerPythonRedirector.exe"来调用Python并启动Xeno RAT。在最后阶段，Python加载器使用相同的注入机制启动AsyncRAT。

感染链以恶意软件向托管在TryCloudflare上的攻击者控制的C2基础设施发送最小HTTP信标来确认数字入侵而告终。目前尚不清楚攻击的目标是谁，以及是否有任何成功的入侵。

Securonix表示："这种重复的注入模式强化了框架的模块化架构。攻击者不是传递单一的整体载荷，而是逐步部署组件，提高了灵活性和弹性。从检测的角度来看，在短时间窗口内重复向explorer.exe进行进程注入是一个强有力的行为指标，与攻击的各个阶段相关联。"

Q&A

Q1：VOID#GEIST恶意软件攻击活动是如何工作的？

A：VOID#GEIST使用多阶段攻击链，首先通过钓鱼邮件分发批处理脚本，然后部署Python运行时环境，最后通过Early Bird APC注入技术将XWorm、AsyncRAT和Xeno RAT等加密远程访问木马载荷直接注入内存执行。整个过程采用无文件执行机制，最大限度减少磁盘检测机会。

Q2：VOID#GEIST恶意软件如何实现持久化而不被发现？

A：该恶意软件将辅助批处理脚本放置在Windows用户的启动目录中，每次用户登录时自动执行。这种方法完全在当前用户权限上下文中运行，不修改系统级注册表、不创建计划任务或安装服务，因此产生的安全摩擦最小，不易触发安全警报。

Q3：VOID#GEIST恶意软件为什么要嵌入Python运行时环境？

A：嵌入合法的Python运行时环境有三个主要优势：可移植性、可靠性和隐蔽性。它消除了对系统的依赖，即使受感染终端没有安装Python也能继续运行，同时将恶意软件转变为完全独立的执行环境，能够在不依赖外部系统组件的情况下解密和注入载荷模块。