Το Pulsar RAT έχει αναδειχθεί ως ένα εξελιγμένο παράγωγο του ανοιχτού κώδικα Quasar RAT, εισάγοντας επικίνδυνες βελτιώσεις που επιτρέπουν στους εισβολείς να διατηρούν αόρατη απομακρυσμένη πρόσβαση μέσω προηγμένων τεχνικών αποφυγής.
Αυτό το αρθρωτό εργαλείο απομακρυσμένης διαχείρισης που εστιάζει στα Windows αντιπροσωπεύει μια σημαντική εξέλιξη στην πολυπλοκότητα των απειλών.
Συνδυασμός εκτέλεσης μόνο με μνήμη με δυνατότητες κρυφού εικονικού δικτύου υπολογιστών (HVNC) που παρακάμπτουν τις παραδοσιακές μεθόδους ανίχνευσης.
Τεχνική Αρχιτεκτονική και Δυνατότητες
Το Pulsar λειτουργεί χρησιμοποιώντας ένα μοντέλο πελάτη-διακομιστή, με κρυπτογραφημένη επικοινωνία TLS και το δυαδικό πρωτόκολλο MessagePack για αποτελεσματική μετάδοση εντολών.
Το κακόβουλο λογισμικό δημιουργεί επιμονή μέσω μηχανισμών παράκαμψης UAC και δημιουργώντας προγραμματισμένες εργασίες κατά τη σύνδεση του συστήματος με αυξημένα προνόμια.
Αυτό που διακρίνει το Pulsar από τους προκατόχους είναι το ολοκληρωμένο σύνολο χαρακτηριστικών του:
| Χαρακτηριστικό | Περιγραφή |
|---|---|
| Keylogging | Καταγράφει πατήματα πλήκτρων για την καταγραφή ευαίσθητων δεδομένων χρήστη. |
| Πειρατεία προχείρου | Αντικαθιστά τις διευθύνσεις πορτοφολιού κρυπτονομισμάτων στο πρόχειρο. |
| Κλοπή διαπιστευτηρίων | Κλέβει διαπιστευτήρια χρησιμοποιώντας την ενσωματωμένη μονάδα Kematian Grabber. |
| Διαχείριση αρχείων | Επιτρέπει στους εισβολείς να περιηγηθούν, να ανεβάσουν και να κατεβάσουν αρχεία. |
| Απομακρυσμένο κέλυφος | Επιτρέπει την εκτέλεση εντολών σε μολυσμένα συστήματα. |
| Διήθηση Δεδομένων | Συλλέγει και στέλνει κλεμμένα δεδομένα σε διακομιστές που ελέγχονται από τους εισβολείς. |
Το κακόβουλο λογισμικό ανακτά τη διαμόρφωση εντολών και ελέγχου από δημόσιους ιστότοπους pastebin. Αποκρυπτογραφεί ωφέλιμα φορτία χρησιμοποιώντας ενσωματωμένα κρυπτογραφικά κλειδιά για να αποκτήσει διευθύνσεις διακομιστή C2.
Αυτή η προσέγγιση προσθέτει λειτουργική ευελιξία, ενώ μειώνει την άμεση έκθεση σε υποδομές. Η πολυπλοκότητα του Pulsar έγκειται στο πολυεπίπεδο οπλοστάσιό του κατά της ανάλυσης.
.webp.jpeg "Pulsar RAT που χρησιμοποιεί εκτέλεση μόνο μνήμης και HVNC για να αποκτήσει αόρατη απομακρυσμένη πρόσβαση")
Το κακόβουλο λογισμικό περιλαμβάνει ελέγχους κατά της εικονικοποίησης που επιθεωρούν τις ετικέτες των δίσκων για δείκτες εικονικών μηχανών, συμπεριλαμβανομένου του “QEMU HARDDISK” και κοινών υπογραφών υπερεπόπτη.
Με τον εντοπισμό, η εκτέλεση σταματά αμέσως, αποτρέποντας ανάλυση sandbox. Οι προστασίες κατά του εντοπισμού σφαλμάτων εμποδίζουν περαιτέρω την εξέταση του εργαλείου ασφαλείας. Η εκτέλεση μόνο με μνήμη αντιπροσωπεύει την πιο σημαντική καινοτομία της Pulsar.
Το κακόβουλο λογισμικό φορτώνει ωφέλιμα φορτία απευθείας στη μνήμη μέσω ανακλαστικότητας .NET χωρίς να εγγράφει αρχεία στο δίσκο, δημιουργώντας ένα διάνυσμα επίθεσης χωρίς αρχεία που παρακάμπτει την παρακολούθηση ασφαλείας που βασίζεται σε δίσκο.
Αυτή η προσέγγιση εξαλείφει τα εγκληματολογικά τεχνουργήματα και μειώνει δραματικά την ορατότητα απόκρισης συμβάντος.
Οι δυνατότητες εισαγωγής κώδικα επιτρέπουν την εκτέλεση εντός νόμιμων διεργασιών, καθιστώντας την ανίχνευση που βασίζεται σε ονόματα διεργασιών αναποτελεσματική.
Αλυσίδες διανομής και επίθεσης
Πρόσφατα δείγματα καταδεικνύουν τη διανομή μέσω συμβιβασμούς στην αλυσίδα εφοδιασμού.
Μια αξιοσημείωτη καμπάνια πακέτου 2025 npm χρησιμοποίησε κακόβουλες βιβλιοθήκες “στρατιώτες” και “@mediawave/lib” που χρησιμοποιούν συσκότιση επτά επιπέδων, συμπεριλαμβανομένης της κωδικοποίησης μεταβλητής Unicode, της δεκαεξαδικής μετατροπής, της κωδικοποίησης Base64 και της στεγανογραφίας ενσωματωμένης σε εικόνες PNG.
Τα σενάρια μετά την εγκατάσταση παρέδιδαν αυτόματα ωφέλιμα φορτία στους προγραμματιστές, επιτυγχάνοντας εκατοντάδες εβδομαδιαίες λήψεις πριν εντοπιστούν.
ANY.RUN ανάλυση sandbox αποκαλύπτει τυπικές ακολουθίες ανάπτυξης: κακόβουλα αρχεία BAT εκτελούν λειτουργίες παράκαμψης UAC διαγράφοντας τις τιμές μητρώου DelegateExecute και εισάγοντας εντολές στα κλειδιά μητρώου ms-settings.
.webp.jpeg "Pulsar RAT που χρησιμοποιεί εκτέλεση μόνο μνήμης και HVNC για να αποκτήσει αόρατη απομακρυσμένη πρόσβαση")
Ο μηχανισμός εκκινεί το computerdefaults.exe με αυξημένα δικαιώματα, δημιουργώντας στη συνέχεια προγραμματισμένες εργασίες που έχουν ρυθμιστεί για επιμονή σε κάθε σύνδεση χρήστη.
Το Pulsar στοχεύει κυρίως χρήστες και οργανισμούς Windows που δεν διαθέτουν προηγμένες λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR), με ιδιαίτερη έμφαση στους προγραμματιστές μέσω μηχανισμών εφοδιαστικής αλυσίδας.
Οι πρόσφατες ανιχνεύσεις περιελάμβαναν αναπτύξεις πολλαπλών RAT μειώνοντας το Pulsar μαζί με τις παραλλαγές Quasar, NjRAT και XWorm μέσω ανοιχτών καταλόγων, υποδηλώνοντας τόσο ευκαιριακές όσο και στοχευμένες εκστρατείες μόλυνσης.
.webp.jpeg "Pulsar RAT που χρησιμοποιεί εκτέλεση μόνο μνήμης και HVNC για να αποκτήσει αόρατη απομακρυσμένη πρόσβαση")
Οι ετικέτες ανάλυσης από πρόσφατα δείγματα περιλαμβάνουν αποφυγή, μοτίβα κρυπτο-regex, φορτωτές ντόνατ, στοιχεία που βασίζονται σε σκουριά και υλοποιήσεις Python, υποδεικνύοντας τα εξελισσόμενα πλαίσια επίθεσης και τη συνεχή ανάπτυξη.
Ο αρθρωτός σχεδιασμός του κακόβουλου λογισμικού επιτρέπει απρόσκοπτες προσθήκες προσθηκών για προσαρμογή με βάση συγκεκριμένους στόχους καμπάνιας και περιβάλλοντα στόχων.
Οι οργανισμοί αντιμετωπίζουν σημαντικό λειτουργικό αντίκτυπο από μολύνσεις Pulsar, με την αποκατάσταση να απαιτεί 200-500 ανθρωποώρες και να εκτείνεται πέρα από τον τεχνικό συμβιβασμό στην κλοπή πνευματικής ιδιοκτησίας και τις κανονιστικές παραβιάσεις.
Οι εξελιγμένες τεχνικές αντι-ανάλυσης του κακόβουλου λογισμικού και οι μέθοδοι εκτέλεσης χωρίς αρχεία απαιτούν πολυεπίπεδους αμυντικούς ελέγχους που συνδυάζουν πλατφόρμες EDR, τμηματοποίηση δικτύου και εκπαίδευση ευαισθητοποίησης για την ασφάλεια των χρηστών.
.webp.jpeg "Pulsar RAT που χρησιμοποιεί εκτέλεση μόνο μνήμης και HVNC για να αποκτήσει αόρατη απομακρυσμένη πρόσβαση")
Η ανίχνευση απαιτεί ολοκληρωμένη ευφυΐα απειλών που συνδυάζει αναζητήσεις δεικτών, ανάλυση sandbox και συσχέτιση υποδομής δικτύου.
Οι ομάδες ασφαλείας που ερευνούν το Pulsar θα πρέπει να ρωτήσουν πλατφόρμες πληροφοριών απειλών χρησιμοποιώντας δείκτες, συμπεριλαμβανομένων των διευθύνσεων IP προορισμού, της υποδομής C2 και των υπογραφών συμπεριφοράς που σχετίζονται με την εκτέλεση μόνο με μνήμη και τις λειτουργίες HVNC.
Ο συνδυασμός δυνατοτήτων stealth, ολοκληρωμένης λειτουργικότητας και διανυσμάτων επίθεσης της εφοδιαστικής αλυσίδας του Pulsar RAT το τοποθετεί ως μια αναδυόμενη κρίσιμη απειλή που απαιτεί άμεση οργανωτική προσοχή και αμυντική προτεραιότητα.
