Złośliwe oprogramowanie, nazwane „Saint Bot”, po raz pierwszy pojawiło się na scenie cybersecurity w styczniu 2021 r. Od tego czasu jego zachowanie znacząco się zmieniło, a ataki nasiliły, co wskazuje na to, że jest w ciągłej fazie rozwoju.

„Saint Bot” to program do pobierania innych plików, który pojawił się całkiem niedawno i powoli nabiera rozpędu. Wpuszcza do systemu docelowego programy typu „stealer” (np. Poulight) lub inne programy ładujące kod do pamięci. Budowa pozwala wykorzystywać go do dystrybucji wszelkiego rodzaju złośliwego oprogramowania.
Co więcej, Saint Bot stosuje szeroką gamę technik, które, choć nie są nowatorskie, wskazują na pewien poziom wyrafinowania, biorąc pod uwagę jego stosunkowo młody wiek.

Łańcuch infekcji oraz późniejsze zachowanie malware zostało dokładnie przeanalizowane przez firmę Malwarebytes. Zaczyna się od wiadomości phishingowej zawierającej załączony plik ZIP („bitcoin.zip”), który twierdzi, że jest portfelem bitcoin. W rzeczywistości jest to skrypt PowerShell pod przykrywką pliku skrótu z rozszerzeniem .LNK. Skrypt ten pobiera następnie złośliwe oprogramowanie – plik wykonywalny WindowsUpdate.exe, który z kolei pobiera drugi plik wykonywalny (InstallUtil.exe), który zajmuje się pobieraniem już docelowych ładunków o nazwach def.exe i putty.exe. Trochę to wszystko skomplikowane, dlatego poniżej widzimy etapy infekcji na schemacie:

Źródło: blog.malwarebytes.com

Pierwszy z ostatecznych plików jest skryptem wsadowym odpowiedzialnym za wyłączenie programu Windows Defender. Putty.exe zawiera zaś złośliwy ładunek, który łączy się z serwerem Command & Control w celu dalszej exploitacji.

Maskowanie występujące na każdym etapie infekcji w połączeniu z technikami antyanalizy zastosowanymi przez szkodliwe oprogramowanie, umożliwia operatorom przejęcie urządzeń, na których zostały zainstalowane, bez zwracania na siebie uwagi.

Lista poleceń obsługiwanych przez ten malware obejmuje:

– pobieranie i wykonywanie innych ładunków pobranych z serwera C2
– aktualizowanie ostatecznego ładunku („the main bot”) do najnowszych wersji
– odinstalowanie się z zaatakowanej maszyny

Chociaż możliwości to mogą wydawać się standardowe, to fakt, że Saint Bot służy jako narzędzie do pobierania innego złośliwego oprogramowania, czyni go wystarczająco niebezpiecznym i trudnym do wykrycia przez AV czy behawioralny EDR.

Co ciekawe, same ładunki są pobierane z plików hostowanych na Discordzie, taktyka, która staje się coraz bardziej powszechna wśród hackerów, którzy nadużywają legalnych funkcji takich platform do komunikacji C2, omijają zabezpieczenia i dostarczają złośliwy kod. Gdy pliki są przesyłane i przechowywane w CDN Discord’a można uzyskać do nich dostęp za pomocą zakodowanego na stałe adresu URL CDN w dowolnym systemie, niezależnie od tego, czy Discord został zainstalowany. Realizuje się to po prostu przeglądając adres URL CDN, na którym znajduje się zawartość.

Poniżej IOC opisywanego zagrożenia:

Initial dropper (.lnk):
63d7b35ca907673634ea66e73d6a38486b0b043f3d511ec2d2209597c7898ae8

Next stage .NET dropper:
b0b0cb50456a989114468733428ca9ef8096b18bce256634811ddf81f2119274

.NET downloader:
a98e108588e31f40cdaeab1c04d0a394eb35a2e151f95fbf8a913cba6a7faa63

Saint Bot (packed):
2d88db4098a72cd9cb58a760e6a019f6e1587b7b03d4f074c979e776ce110403

Saint Bot core
a4b705baac8bb2c0d2bc111eae9735fb8586d6d1dab050f3c89fb12589470969

Downloader domain:
68468438438[.]xyz

C2 servers:
update-0019992[.]ru
380222001[.]xyz

Podziel się z innymi tym artykułem!