عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة GHOSTFORM RAT

GHOSTFORM RAT

بواسطة Mezo في البرمجيات الخبيثة, أدوات الإدارة عن بعد
ترجمة الى:

GHOSTFORM هو حصان طروادة للتحكم عن بُعد (RAT) مبني على بيئة .NET، مصمم لدمج عدة قدرات خبيثة في ملف تنفيذي واحد. يقوم هذا البرنامج الخبيث بتشغيل نصوص PowerShell مباشرةً في الذاكرة، مما يقلل من احتمالية اكتشافه بواسطة أدوات الأمان التقليدية. وللتهرب من آليات الأمان بشكل أكبر، يستخدم تقنيات مثل نماذج Windows المخفية ومؤقتات التنفيذ المؤجلة. نظرًا لسلوكه الخفي وقدراته الواسعة، فإن أي اكتشاف لـ GHOSTFORM يستدعي إزالته فورًا وتفعيل إجراءات الاستجابة للحوادث.

سلسلة الهجوم الأولى: نشر البرمجيات الخبيثة متعددة المراحل

تبدأ سلسلة الهجوم الأولى بتسليم ملف RAR محمي بكلمة مرور يحتوي على تطبيق مزيف مصمم ليشبه برنامج WinRAR. عند فتح الضحية للملف، يتم تشغيل برنامج تحميل يُعرف باسم SPLITDROP. يقوم هذا البرنامج بتثبيت مكونين إضافيين من البرامج الضارة: TWINTASK وTWINTALK.

يطلب برنامج SPLITDROP في البداية كلمة مرور من الضحية لاستخراج ملف مضغوط مخفي. إذا كان الملف موجودًا بالفعل على النظام، يتوقف التنفيذ. وإلا، يقوم البرنامج بفك تشفير حمولة مضمنة في الخلفية مع عرض رسالة خطأ مضللة للمستخدم. يُخزَّن المحتوى الذي تم فك تشفيره في المجلد 'C:\ProgramData\PolGuid'، وبعد ذلك يتم تشغيل ملف تنفيذي شرعي باسم VLC.exe لمواصلة الهجوم.

بمجرد تشغيل VLC.exe، يقوم بتحميل مكتبة ارتباط ديناميكي خبيثة تُسمى TWINTASK عبر التحميل الجانبي لمكتبات الارتباط الديناميكي. ينتظر هذا المكون تعليمات من المهاجم وينفذها باستخدام PowerShell. تُستخدم عدة أوامر تحديدًا لضمان استمرارية الاختراق داخل النظام وبدء المرحلة التالية من عملية الاختراق. وكجزء من هذه العملية، يقوم برنامج نصي بتشغيل WingetUI.exe وإنشاء إدخالات في سجل النظام لضمان تشغيل كل من VLC.exe وWingetUI.exe تلقائيًا عند إعادة تشغيل النظام.

توين توك وتوين تاسك: تنفيذ الأوامر المنسق

عند تشغيل WingetUI.exe، يتم تحميل وحدة خبيثة أخرى تُعرف باسم TWINTALK. يتصل هذا المكون بخادم التحكم والسيطرة الخاص بالمهاجم ويتلقى التعليمات. يعمل TWINTALK بالتنسيق مع TWINTASK لتنفيذ الأوامر على الجهاز المخترق.

يدعم برنامج TWINTALK ثلاث فئات رئيسية من الأوامر:

  • تنفيذ الأوامر على الجهاز المصاب
  • تنزيل الملفات من البنية التحتية للمهاجم
  • تحميل الملفات من النظام المخترق إلى المهاجم

من خلال هذه القدرات، يحصل المهاجمون على سيطرة واسعة النطاق على البيئة المصابة.

سلسلة الهجوم الثانية: تنفيذ مباشر لهيئة الشبح

تستخدم سلسلة الهجوم الثانية برنامج GHOSTFORM نفسه لتنفيذ جميع الوظائف التي تتولاها مكونات متعددة في السلسلة الأولى. وبدلاً من نشر عدة ملفات أو الاعتماد على تحميل مكتبات الارتباط الديناميكي (DLL) بشكل جانبي، ينفذ هذا النوع أوامر PowerShell مباشرةً في الذاكرة.

ولتجنب اكتشافها، تُنشئ البرمجية الخبيثة نموذجًا غير مرئي لنظام ويندوز يُؤخر التنفيذ قبل تشغيل الحمولة الخبيثة. إضافةً إلى ذلك، تستخدم الحملة نماذج جوجل كجزء من عملية هندسة اجتماعية لجذب الضحايا وحثهم على بدء النشاط الخبيث.

أساليب التهرب والمثابرة

يشتمل برنامج GHOSTFORM الخبيث على آليات متعددة مصممة لتقليل اكتشافه والحفاظ على وصول طويل الأمد إلى الأنظمة المخترقة. يتعمد هذا البرنامج تأخير نشاطه من خلال إنشاء نموذج ويندوز شبه مخفي يقوم بتشغيل مؤقت بتأخير عشوائي قبل استئناف التنفيذ.

كما يقوم بإنشاء قفل تبادلي لضمان تشغيل نسخة واحدة فقط من البرمجية الخبيثة على النظام، ويُنشئ مُعرّفًا فريدًا للروبوت لتتبع الأجهزة المصابة. تُستخدم برامج التجسس التي تُتيح الوصول عن بُعد من هذا النوع عادةً لنشر حمولات إضافية، أو سرقة البيانات والملفات الحساسة، أو تنفيذ عمليات خبيثة أخرى داخل بيئة الضحية.

تشمل القدرات الرئيسية المرتبطة عادةً بالحملة ما يلي:

  • نشر حمولات برمجيات خبيثة إضافية
  • سرقة المعلومات والملفات من الأجهزة المصابة
  • تنفيذ الأوامر عن بعد عبر PowerShell
  • استمرار طويل الأمد داخل الأنظمة المخترقة

الهندسة الاجتماعية في كليك فيكس: ناقل العدوى الذي يركز على الإنسان

لا تعتمد الحملة على نشر البرمجيات الخبيثة فحسب، بل تستخدم أيضاً أسلوب الهندسة الاجتماعية المعروف باسم "كليك فيكس" لاختراق الأنظمة. يقوم المهاجمون بإنشاء صفحات ويب مزيفة مقنعة مصممة للتلاعب بالمستخدمين لحملهم على تنفيذ أوامر خبيثة.

تشمل الأمثلة دعوات اجتماعات مزيفة من سيسكو ويبكس أو نماذج ويب احتيالية تبدو شرعية. ويتم توجيه الضحايا لتشغيل أوامر تقوم تلقائيًا بتنزيل البرامج الضارة وتنفيذها، مما يؤدي دون علمهم إلى بدء عملية الاختراق.

مزج البرمجيات الخبيثة والخداع

تُظهر هذه الحملة نهجًا منسقًا يجمع بين نشر البرمجيات الخبيثة التقنية والتلاعب النفسي. يقوم المهاجمون بتوزيع ملفات خبيثة مُتنكرة في هيئة برامج بريئة تُشبه أدوات WinRAR. عند فتح هذه الملفات، يتم حقن مكونات برمجية خبيثة مخفية في نظام التشغيل.

بعد التثبيت، يعمل أحد المكونات بصمت في الخلفية، ويتحقق دوريًا من خادم المهاجم بحثًا عن تعليمات مشفرة، ثم ينفذها عبر PowerShell. في الوقت نفسه، تعتمد هجمات ClickFix على استطلاعات رأي وهمية، ودعوات اجتماعات خادعة، أو نماذج إلكترونية مزيفة لإقناع المستخدمين بتنفيذ أوامر تؤدي إلى تنزيل برامج ضارة.

من خلال الجمع بين أدوات البرامج الضارة المتقدمة مثل TWINTASK و TWINTALK و GHOSTFORM مع تقنيات الهندسة الاجتماعية المصممة بعناية، يزيد المهاجمون بشكل كبير من معدل نجاح اختراق النظام ويحافظون على تحكم عن بعد مستمر في الأجهزة المصابة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
21,503
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...