VioletWorm 4.7: модульный RAT с C2, AES-256 и USB‑распространением
Исследователи обнаружили комплексную реализацию троянской программы удалённого доступа, получившую обозначение VioletWorm (также известный как Violet RAT версии 4.7). Этот компонент является ключевым звеном в многоступенчатой кампании вторжений и выделяется богатым набором возможностей и специфической операционной инфраструктурой.
«VioletWorm, также известный как Violet RAT версии 4.7, представляет собой значительное дополнение к многоступенчатой кампании вторжения, включающей множественные семьи троянских программ удаленного доступа (RAT).»
Ключевые технические особенности
VioletWorm реализован как менеджер команд и способен загружать плагины, каждый из которых расширяет функционал вредоносного агента. Основные технические элементы и механизмы:
- Платформа и сборка: сложная сборка на .NET, исполняемый файл VioletClient.exe прошёл несколько версий; в ноябре 2023 года зафиксированы три различных сборки с отличиями в конечных точках сервера и конфигурации.
- Дропперы и шифрование: дропперы на базе Python используют AES-256-CBC и RC4 для защиты полезных нагрузок.
- Архитектура плагинов: загрузка плагинов происходит через механизмы загрузки рефлексивных сборок, что позволяет динамически расширять возможности RAT.
- Коммуникация с C2: связь осуществляется посредством HTTP POST-запросов с определённым типом содержимого и уникальной структурой запросов; это даёт возможность динамической смены ключей шифрования и команд.
Функциональные возможности и команды
Набор команд VioletWorm покрывает широкий спектр вредоносных действий, среди которых отмечены:
- манипуляция файловой системой;
- запись нажатий клавиш (кейлоггинг);
- скрытый доступ к VNC (удалённый доступ к рабочему столу);
- перехват содержимого буфера обмена;
- возможности для проведения DDoS‑атак;
- функциональность программ‑вымогателей, способных шифровать файлы на основе отпечатков, специфичных для конкретной машины.
Механизмы распространения и уклонения
Вредоносный актор применяет несколько приёмов для скрытия активности и распространения:
- распространение через USB с созданием файлов‑ярлыков, маскирующих вредоносный payload;
- модификации записей реестра для предотвращения видимости файлов для пользователя;
- использование кодировок и различных мьютексов для управления экземплярами и усложнения анализа.
Инфраструктура и операционная методика
Трафик VioletWorm проходит через домены, такие как vijdklet.duckdns.org и vigroup2125.duckdns.org, что указывает на отдельные оперативные фазы вредоносной активности. Инфраструктура, поддерживающая VioletWorm, остаётся сегментированной от других семей RAT в той же кампании, что свидетельствует о продуманном подходе к развертыванию различных инструментов для специфических задач при одновременном использовании общих методологий.
Оценка угрозы
Технические нюансы и продвинутые функции делают VioletWorm значимой угрозой в экосистеме кибершпионажа и кражи данных. Его возможности управления, расширяемость через плагины и набор средств уклонения от обнаружения подчёркивают оперативную сложность, с которой сталкиваются специалисты по кибербезопасности. В целом, это вредоносное ПО заслуживает повышенного внимания и дальнейшего мониторинга.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
