VioletWorm 4.7: модульный RAT с C2, AES-256 и USB‑распространением

Исследователи обнаружили комплексную реализацию троянской программы удалённого доступа, получившую обозначение VioletWorm (также известный как Violet RAT версии 4.7). Этот компонент является ключевым звеном в многоступенчатой кампании вторжений и выделяется богатым набором возможностей и специфической операционной инфраструктурой.

«VioletWorm, также известный как Violet RAT версии 4.7, представляет собой значительное дополнение к многоступенчатой кампании вторжения, включающей множественные семьи троянских программ удаленного доступа (RAT).»

Ключевые технические особенности

VioletWorm реализован как менеджер команд и способен загружать плагины, каждый из которых расширяет функционал вредоносного агента. Основные технические элементы и механизмы:

• Платформа и сборка: сложная сборка на .NET, исполняемый файл VioletClient.exe прошёл несколько версий; в ноябре 2023 года зафиксированы три различных сборки с отличиями в конечных точках сервера и конфигурации.
• Дропперы и шифрование: дропперы на базе Python используют AES-256-CBC и RC4 для защиты полезных нагрузок.
• Архитектура плагинов: загрузка плагинов происходит через механизмы загрузки рефлексивных сборок, что позволяет динамически расширять возможности RAT.
• Коммуникация с C2: связь осуществляется посредством HTTP POST-запросов с определённым типом содержимого и уникальной структурой запросов; это даёт возможность динамической смены ключей шифрования и команд.

Функциональные возможности и команды

Набор команд VioletWorm покрывает широкий спектр вредоносных действий, среди которых отмечены:

• манипуляция файловой системой;
• запись нажатий клавиш (кейлоггинг);
• скрытый доступ к VNC (удалённый доступ к рабочему столу);
• перехват содержимого буфера обмена;
• возможности для проведения DDoS‑атак;
• функциональность программ‑вымогателей, способных шифровать файлы на основе отпечатков, специфичных для конкретной машины.

Механизмы распространения и уклонения

Вредоносный актор применяет несколько приёмов для скрытия активности и распространения:

• распространение через USB с созданием файлов‑ярлыков, маскирующих вредоносный payload;
• модификации записей реестра для предотвращения видимости файлов для пользователя;
• использование кодировок и различных мьютексов для управления экземплярами и усложнения анализа.

Инфраструктура и операционная методика

Трафик VioletWorm проходит через домены, такие как vijdklet.duckdns.org и vigroup2125.duckdns.org, что указывает на отдельные оперативные фазы вредоносной активности. Инфраструктура, поддерживающая VioletWorm, остаётся сегментированной от других семей RAT в той же кампании, что свидетельствует о продуманном подходе к развертыванию различных инструментов для специфических задач при одновременном использовании общих методологий.

Оценка угрозы

Технические нюансы и продвинутые функции делают VioletWorm значимой угрозой в экосистеме кибершпионажа и кражи данных. Его возможности управления, расширяемость через плагины и набор средств уклонения от обнаружения подчёркивают оперативную сложность, с которой сталкиваются специалисты по кибербезопасности. В целом, это вредоносное ПО заслуживает повышенного внимания и дальнейшего мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "VioletWorm 4.7: модульный RAT с C2, AES-256 и USB‑распространением".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.