Dari infostealer hingga RAT lengkap: membedah rantai serangan PureRAT

Oleh James Northey dan Anna Pham (Kontributor) dari Huntress Labs

Investigasi terhadap apa yang sekilas tampak sebagai kampanye infostealer “standar” berbasis Python mengalami perubahan yang menarik ketika ditemukan bahwa puncaknya adalah penerapan trojan akses jarak jauh (RAT) berfitur lengkap dan tersedia secara komersial yang dikenal sebagai PureRAT. Artikel ini menganalisis kombinasi alat yang dikembangkan sendiri oleh pelaku ancaman dengan malware siap pakai.

Kampanye ini menunjukkan kemajuan yang jelas dan disengaja, dimulai dengan iming-iming phishing sederhana dan meningkat melalui lapisan pemuat dalam memori, penghindaran pertahanan, dan pencurian kredensial. Payload terakhir, PureRAT, mewakili puncak dari upaya ini: pintu belakang modular yang dikembangkan secara profesional yang memberikan penyerang kendali penuh atas host yang disusupi.

Kami akan membedah seluruh rantai serangan, dari DLL awal yang di-sideload hingga saluran perintah dan kontrol (C2) terenkripsi akhir, memberikan konteks dan indikator yang Anda perlukan untuk mempertahankan jaringan Anda.

Catatan: Sejak awal analisis ini, SentinelLABS dan Beazley Security telah menerbitkan analisis yang sangat baik laporan mencakup Tahap 1 dan 2. Sangat layak dibaca untuk konteks tambahan, meskipun materi dari Tahap 3 (PureRAT) tetap unik untuk artikel ini, jadi teruslah membaca.

Analisis ancaman mendalam

Intrusi ini adalah contoh bagus dari kebingungan berlapis dan evolusi taktis. Pelaku ancaman menyatukan sepuluh muatan/tahap berbeda, yang semakin kompleks dalam menyembunyikan tujuan utamanya.

Tahap 1: Iming-iming awal dan Python Loader.

Serangan dimulai dengan email phishing konvensional yang berisi arsip ZIP yang disamarkan sebagai pemberitahuan pelanggaran hak cipta. Arsip tersebut berisi pembaca PDF bertanda tangan sah yang dapat dieksekusi dan berbahaya versi.dll.

Ini klasik DLL melakukan sideload teknik ini, memaksa executable tepercaya untuk secara tidak sengaja memuat DLL berbahaya dari direktori yang sama.

DLL berbahaya menggunakan serangkaian binari dan file Windows di dalam folder tersembunyi “_” untuk mengeksekusi muatan berikutnya. Ini menggunakan certutil.exe untuk memecahkan kode gumpalan berkode Base64 yang tersembunyi di dalam file bernama Dokumen.pdfyang menghasilkan arsip ZIP. Ia kemudian menggunakan salinan WinRAR yang dibundel dan diganti namanya (gambar.png) untuk mengekstrak isinya.

Dari arsip sekunder ini, file diekstraksi ke C:Penggunapublikwindows dan sertakan penerjemah Python yang diganti namanya (svchost.exe) dan skrip Python yang dikaburkan (gambar.png), yang kemudian dieksekusi.

Fase serangan ini, seperti dijelaskan di atas, ditangkap oleh peristiwa Sysmon:

  Type: Process Create  Image: C:WindowsSysWOW64cmd.exe  ParentImage: C:UsersMalwareDesktopsampleDetailed_report_document_on_actions_in  volving_copyrighted_material.exe  CommandLine: cmd /c cd _ && start Document.pdf && certutil -decode  Document.pdf Invoice.pdf && images.png x -ibck -y Invoice.pdf  C:UsersPublic && start C:UsersPublicWindowssvchost.exe  C:UsersPublicWindowsLibimages.png ADN_UZJomrp3vPMujoH4bot

Muatan 2

Skrip Python gambar.png (bukan images.png, biner WinRAR) adalah pemuat yang berisi string besar yang dikodekan Base85. Payload dieksekusi seluruhnya dalam memori menggunakan eksekutif() setelah didekode dan didekompresi, memulai payload 3.

Muatan 3

Menjalankan payload 3 melalui dis, sebuah modul bawaan untuk mengubah bytecode menjadi interpretasi yang dapat dibaca manusia, menunjukkan bahwa ini adalah loader lain, kali ini merupakan loader kriptografi khusus. Ia menggunakan skema enkripsi hybrid yang melibatkan RSA, AES, RC4, dan XOR untuk mendekripsi payload 4 payload.

Muatan 4

Membangun kembali fungsi ini dalam skrip Python kita memungkinkan kita menjalankan payload ini dis lagi.

Catatan: Mulai sekarang, saya telah mengonversinya dis output ke kode sumber untuk lebih mudah menjelaskan bagian berikut.

Untuk serangan dalam memori seperti ini, pelaku ancaman harus memastikan malware mereka dapat bertahan saat sistem di-boot ulang. Skrip payload 4 menggunakan pustaka winreg bawaan Python untuk memodifikasi kunci registri sistem, menambahkan kunci run yang dirancang agar terlihat seperti komponen Windows yang sah: Layanan Pembaruan Windows

Data yang disimpan dalam nilai ini adalah perintah yang mengeksekusi ulang malware tahap pertama, memastikan seluruh rantai infeksi dimulai kembali setiap kali pengguna yang disusupi masuk.

  cmd /c start C:UsersPublicWindowssvchost.exe C:UsersPublicWindowsLibimages.png 

Payload 4 kemudian melanjutkan pola loader, kali ini menggunakan deskripsi bot Telegram dan penyingkat URL (adalah[.]gd) untuk mengambil dan mengeksekusi payload berikutnya secara dinamis, memberikan pelaku ancaman mekanisme yang fleksibel untuk memperbarui rantai serangan mereka.

Perhatikan penggunaan sys.argv[1] Di Sini; dalam kasus kami, inilah argumennya ADN_UZJomrp3vPMujoH4bot dari saat tahap 1 mengekstrak payload 2 dan menjalankan skrip Python pertama.

Tahap 2: Muatan senjata pertama—Pencuri Info Python

Menarik ke bawah tahap selanjutnya dari adalah[.]gdkita sampai pada muatan senjata pertama: pencuri informasi berbasis Python. Analisis bytecode yang didekripsi mengungkapkan fungsionalitas untuk mengumpulkan berbagai data sensitif, termasuk kredensial, cookie, kartu kredit, dan data isi otomatis dari browser berbasis Chrome dan Firefox.

Semua data yang dicuri diarsipkan ke dalam file ZIP dan dieksfiltrasi melalui API Bot Telegram. Metadata file ZIP berisi petunjuk tentang siapa yang mungkin berada di balik serangan ini. Bidang kontak yang menunjuk ke pegangan Telegram @LoneNone.

Pengendalian ini telah dikaitkan secara publik dengan keluarga malware PXA Stealer, sehingga memberi kami tautan atribusi yang kuat.

API telegram kemudian digunakan untuk mengirim zip dan pesan yang dihasilkan (di atas) ke berbagai obrolan Telegram, bergantung pada logika berikut:

Tabel 1: Logika Pesan Telegram

Tahap 3: Pivot ke .NET

Saat tujuan kampanye terlihat jelas, pelaku ancaman akan berubah. Tahap 3 menandai perubahan signifikan dari skrip Python yang diinterpretasikan ke skrip .NET yang dapat dieksekusi.

Tahap baru diambil dari 0x0[.]stsebuah “layanan hosting file dan pemendekan URL tanpa omong kosong”, tahap ini jauh lebih besar daripada skrip Python sebelumnya (40KB -> ~3 MB), karena berisi dua payload yang tertanam lagi.

Biner pertama adalah rakitan .NET yang didekripsi menggunakan base64 dan kunci hardcode RC4. Aktor ancaman kemudian menggunakan proses pengosongan dengan meluncurkan utilitas .NET yang sah, RegAsm.exedalam keadaan ditangguhkan.

Ini membuka peta kode asli yang dapat dieksekusi dari memori proses, mengalokasikan wilayah memori baru, dan menulis muatan .NET berbahaya ke dalamnya (payload 7). Konteks thread utama kemudian diperbarui agar mengarah ke titik masuk baru, dan thread dilanjutkan, mengeksekusi kode berbahaya dengan kedok biner Microsoft yang sah.

Yang kedua adalah shellcode loader, tapi saya tidak akan membahas payload ini di sini, sebagian karena artikel ini sudah cukup padat, tetapi sebagian besar karena saya mengalami masalah saat mencoba menirunya.

Muatan 7

Ini adalah payload PE pertama kami, dan tampaknya string debug ditinggalkan oleh pembuatnya, yang mengonfirmasi bahwa ia melakukan dua teknik penghindaran pertahanan utama:

1. AMSI Patching: Itu menambal AmsiScanBuffer berfungsi di amsi.dll untuk mencegah Antarmuka Pemindaian Antimalware memeriksa kode yang dimuat secara dinamis.
2. Pelepasan ETW: Itu menambal EtwEventWrite di dalam ntdll.dll untuk membutakan Pelacakan Peristiwa untuk Windows, sumber telemetri umum untuk produk EDR.

Rakitan ini berisi payload tertanam lainnya (payload 8), yang diterjemahkan menggunakan kombo Base64 dan XOR sederhana.

Setelah payload didekripsi, payload diteruskan ke metode .NET bawaan Perakitan.Bebanyang memuat file yang dapat dieksekusi langsung ke memori, alirannya terus berlanjut dapatkan EntryPointyang mengambil titik masuk dari rakitan yang dimuat, dan akhirnya, panggilCSharpMethod mengeksekusi metode melalui refleksi.

Mengekstrak payload ini menggunakan CyberChef (Base64 → XOR dengan kunci),

Muatan 8

Payload ini menggunakan dekompresi AES-256 dan GZip untuk membongkar tahap kesembilan dan terakhir: sebuah DLL bernama Mhgljosy.dll. Daripada mengandalkan ekspor tradisional, loader menggunakan Refleksi .NET (Perakitan.Beban(), Dapatkan Tipe(), DapatkanMetode()) untuk memuat DLL seluruhnya ke dalam memori dan memanggil metode tertentu yang dikaburkan untuk memulai eksekusinya.

Dengan breakpoint aktif DapatkanMetode() dan sedikit debugging, kami menemukan metode ini Mhgljosy.Memformat.TransferableFormatter.SelectFormatter().

Payload 9: Bagian Terakhir—PureRAT

Setelah delapan payload/tahapan loader, stealer, dan obfuscation, akhirnya kita sampai pada payload terakhir, Mhgljosy.dll. Tapi DLL dilindungi dengan Reaktor .NETobfuscator komersial yang digunakan untuk menggagalkan rekayasa balik.

Analisis statis adalah jalan buntu, jadi kita beralih ke deobfuscation. Menggunakan alat sumber terbuka yang disebut Pembunuh NETReactor (Terima kasih, Anna Pham, atas sarannya), kami dapat menghilangkan cukup banyak pengalihan aliran kontrol dan enkripsi string untuk menghasilkan rakitan yang lebih mudah dibaca.

Dengan biner yang lebih bersih, kita dapat menganalisis titik masuk yang diidentifikasi pada payload sebelumnya:

Setelah kontrol yang tidak dikaburkan, kami memukul terlebih dahulu Terima Pelanggan Terlampir. Tepat di atas metode ini, kita melihat gumpalan Base64.

Logika decodingnya adalah:

1. Dekode Base64: String awal diterjemahkan.
2. Dekompresi GZip: Output yang didekodekan base64 menampilkan header GZip.
3. Deserialisasi Protobuf: Data yang didekompresi dideserialisasi menggunakan skema Protocol Buffer (protobuf).

Ini mengungkapkan konfigurasi malware.

Konfigurasi terakhir yang dideserialisasi berisi infrastruktur C2: alamat IP (157.66.26[.]209), daftar port (56001, 56002, 56003), dan blob base64 lainnya yang diterjemahkan ke sertifikat X.509. Malware ini menggunakan sertifikat ini untuk penyematan TLS, memastikan komunikasi C2-nya terenkripsi dan tahan terhadap pemeriksaan man-in-the-middle.

Sebagai catatan, server C2 ini berlokasi di Vietnam, yang menambah bukti lebih lanjut bahwa ini adalah PXA dan orang di belakangnya kemungkinan besar adalah orang Vietnam.

Setelah terhubung ke C2, RAT mengirimkan kembali ke operator dalam paket awal “halo”. Terdiri dari logika berikut, yang sulit dipahami karena nama metodenya tidak jelas.

Setelah dideobfuscate secara manual, kami menemukan bahwa ini terdiri dari sidik jari menyeluruh dari mesin host, mengumpulkan banyak informasi sebelum mengirimkannya kembali ke server C2.

Berikut ini rincian semua fungsi yang digunakan dalam rutinitas sidik jari ini:

ID Host Unik: Seperti terlihat pada Gambar 23, ini dihasilkan oleh hash MD5 berdasarkan ID prosesor, nomor seri drive disk, nomor seri memori fisik, dan nama domain pengguna. Hal ini menciptakan pengidentifikasi yang stabil dan unik untuk mesin korban.

Dompet Mata Uang Kripto: Yang ini mencari lusinan dompet mata uang kripto berbasis browser dan desktop dengan memeriksa ID ekstensi Chrome, jalur sistem file (%Data aplikasi%), dan kunci registri.

Catatan: fungsi ini tidak mengumpulkan data apa pun, hanya mengembalikan string yang ada di sistem.

Setelah sidik jari host awal selesai dan jabat tangan dengan C2 terjalin, RAT bertransisi ke fungsi utamanya: loop penugasan persisten yang dirancang untuk menerima dan menjalankan perintah.

Perulangan tugas cukup mudah setelah dibongkar:

1. (Merah) Baca 4 byte pertama untuk menentukan panjang payload.
2. (Biru) Baca byte sebanyak itu ke dalam buffer — ini adalah payload sebenarnya.
3. (Hijau) Deserialisasi buffer dengan rutin protobuf yang kita lihat sebelumnya.
4. (Hijau) Memunculkan thread baru dan menelepon Putuskan Pengontrol Fleksibel() pada pesan untuk menjalankan tugas.

Arsitektur ini secara efektif mengubah RAT ini menjadi pemuat dinamis. Implan tersebut tidak aktif, menunggu operator untuk menekan modul sesuai permintaan, secara dinamis memperluas kemampuannya jauh melampaui pengintaian awal. Plugin ini dapat menambahkan fungsionalitas untuk apa pun mulai dari akses mikrofon/webcam hingga keylogging real-time dan akses desktop tersembunyi.

Untungnya bagi korban, SOC Huntress mampu mengisolasi dan memulihkan host yang terinfeksi sebelum pelaku ancaman dapat menggunakan plugin tambahan yang dipersenjatai ini, menghentikan serangan sebelum mencapai tujuan akhirnya. Sayangnya bagi kami, itu berarti kami tidak memiliki modul lebih lanjut untuk diselidiki.

Satu petunjuk terakhir mengungkap RAT Murni

Ruang nama .NET memberi kita petunjuk lain dengan menyebutkan MurniHVNCbukti kuat bahwa sampel ini terkait dengan VNC Tersembunyi Murni. Sepotong malware komoditas yang sebelumnya dijual oleh seseorang dengan nama samaran “Pembuat Kode Murni”

Ketika MurniHVNC merupakan warisan yang cukup banyak pada saat ini, banyak modulnya hidup dalam keluarga malware PureCoder yang lebih baru, masing-masing dirancang untuk melayani tujuan tertentu:

• PureCrypter – crypter yang digunakan untuk menyuntikkan malware ke dalam proses yang sah, menghindari deteksi, dan menggagalkan analisis dengan pemeriksaan anti-VM dan anti-debug.
• Pemuat Biru – pemuat yang menyebarkan muatan tambahan pada sistem yang terinfeksi, memberikan penyerang cara mudah untuk melancarkan dan memperbarui kampanye malware.
• Penambang Murni – seorang cryptojacker diam-diam yang membajak sumber daya CPU dan GPU korban untuk menambang mata uang kripto bagi penyerang tanpa izin.
• Pencuri PureLogs – pencuri informasi yang mengambil data browser, kredensial yang disimpan, dan token sesi, sering kali mengirimkannya langsung ke Telegram penyerang.
• Murni – pintu belakang modular yang membentuk saluran C2 terenkripsi, dan memungkinkan operator memuat modul tambahan
• Pemotong Murni – memantau papan klip sistem untuk mencari alamat mata uang kripto dan menggantinya dengan alamat yang dikendalikan penyerang selama operasi salin-tempel, mengarahkan transaksi kripto untuk mencuri dana.

Arsitektur dan rangkaian fitur yang kami amati di sini selaras dengan sempurna Murnipengembang secara terbuka mengiklankan alat ini sebagai “alat administrasi” jarak jauh .NET berkode khusus, dengan klien ringan terenkripsi TLS/SSL dan GUI multibahasa, menawarkan fitur pengawasan dan kontrol ekstensif seperti akses desktop tersembunyi (HVNC/HRDP), spionase webcam dan mikrofon, keylogging real-time dan offline, CMD jarak jauh, dan pemantauan aplikasi (misalnya, browser, Outlook, Telegram, Steam).

Ini mencakup alat manajemen seperti manajer file, proses, registri, jaringan, dan startup, ditambah kemampuan untuk serangan DDoS, proksi terbalik, injeksi kode .NET, manajemen bot streaming, dan eksekusi file di memori atau disk. Meskipun ini terutama “tidak termasuk pemulihan kata sandi/cookie” (Fungsi Pencuri) karena dijual terpisah.

Kesimpulan

Infrastruktur Telegram berulang, metadata tertaut ke @LoneNonedan server C2 yang ditelusuri ke Vietnam sangat menyarankan bahwa hal ini dilakukan oleh orang-orang di belakang PXA Stealer. Kemajuan mereka dari pengaburan amatir terhadap muatan Python mereka hingga penyalahgunaan malware komoditas seperti PureRAT tidak hanya menunjukkan kegigihan, namun juga ciri-ciri operator yang serius dan matang.

Pelaku ancaman menunjukkan kemahiran dalam berbagai bahasa dan teknik, mulai dari pemuat bytecode Python dan enumerasi WMI hingga pengosongan proses .NET dan pemuatan DLL reflektif.

Dari sudut pandang yang lebih luas, peralihan dari pencuri berkode khusus ke RAT komersial seperti PureRAT adalah hal yang signifikan. Hal ini menurunkan hambatan masuk bagi penyerang, memberi mereka akses ke perangkat yang stabil, kaya fitur, dan dipelihara secara “profesional” tanpa memerlukan upaya pengembangan yang ekstensif.

Dampaknya adalah ancaman yang lebih tangguh, modular, dan berbahaya yang mampu menyebabkan pencurian data ekstensif, pengawasan, serangan lanjutan, dan persistensi jangka panjang.

Kampanye ini menggarisbawahi pentingnya pertahanan yang mendalam. Akses awal bergantung pada eksekusi pengguna, pemuat mengeksploitasi biner tepercaya dan sistem, dan tahap terakhir menggunakan penghindaran pertahanan agar tetap tersembunyi.

Tidak ada satu pun kendali yang dapat menghentikan keseluruhan rantai ini. Dengan memahami seluruh siklus hidup serangan dan memantau perilaku spesifik yang diuraikan di sini, dari sertifikat penyalahgunaan kueri WMI dan lalu lintas C2 terenkripsi, organisasi dapat membangun postur keamanan yang lebih tangguh.

Pertahankan Kesadaran Situasional—Daftar ke Tradecraft Selasa

Tradecraft Tuesday memberi para profesional keamanan siber analisis mendalam tentang pelaku ancaman terbaru, vektor serangan, dan strategi mitigasi.

Setiap sesi mingguan menampilkan panduan teknis mengenai insiden terkini, perincian komprehensif tren malware, dan indikator kompromi (IOC) terkini.

Peserta mendapatkan:

• Pengarahan mendetail tentang kampanye ancaman yang muncul dan varian ransomware

• Metodologi pertahanan dan teknik remediasi yang berbasis bukti

• Interaksi langsung dengan analis Huntress untuk mendapatkan wawasan respons insiden

• Akses terhadap panduan deteksi dan intelijen ancaman yang dapat ditindaklanjuti

Tingkatkan postur pertahanan Anda dengan intelijen real-time dan pendidikan teknis yang dirancang khusus bagi mereka yang bertanggung jawab menjaga lingkungan organisasi mereka.

Daftar Tradecraft Selasa →

Mitra itu & pemetaan CK

Indikator Kompromi

Artefak Disk dan Memori

Jaringan/Infrastruktur

Ucapan Terima Kasih

Saya ingin mengucapkan terima kasih Anna Pham atas bantuannya membuang dan mengaburkan tahap akhir.

Disponsori dan ditulis oleh Lab Pemburu.