برنامج PLAYFULGHOST الخبيث

حدد خبراء الأمن السيبراني تهديدًا جديدًا ناشئًا يُطلق عليه اسم PLAYFULGHOST، وهو باب خلفي مزود بمجموعة واسعة من وظائف جمع المعلومات. ويشمل ذلك تسجيل المفاتيح، والتقاط الشاشة والصوت، والوصول عن بُعد إلى shell ونقل الملفات أو قدرات التنفيذ.

اتصال مع Gh0st RAT

يُظهر PLAYFULGHOST تشابهات وظيفية مع Gh0st RAT ، وهي أداة إدارة عن بعد معروفة أصبحت متاحة على نطاق واسع بعد تسريب الكود المصدر الخاص بها في عام 2008. ويشير هذا إلى أن الجهات الفاعلة التي تهدد PLAYFULGHOST ربما تكون قد بنت على أساس الأداة القديمة مع تقديم تحسينات لتوسيع قدراتها.

ناقلات العدوى الأولية

يستخدم مرتكبو التهديد وراء PLAYFULGHOST تقنيات متعددة للحصول على وصول أولي إلى الأنظمة المستهدفة. وتشمل هذه التقنيات حملات التصيد الاحتيالي التي تستغل موضوعات تتعلق بقواعد السلوك وتكتيكات تسميم محركات البحث لتوزيع إصدارات ملوثة بأحصنة طروادة من تطبيقات VPN المشروعة مثل LetsVPN.

في سيناريو هجوم التصيد الاحتيالي، يتم خداع الضحايا لفتح أرشيف RAR تالف يتنكر في هيئة ملف صورة باستخدام امتداد ".jpg" مضلل. عند استخراج الأرشيف وتنفيذه، يقوم الأرشيف بإسقاط ملف تنفيذي ضار لنظام التشغيل Windows، والذي يقوم بعد ذلك باسترداد وتشغيل PLAYFULGHOST من خادم بعيد.

من ناحية أخرى، يتم استخدام تسميم محرك البحث لإغراء المستخدمين غير المطلعين بتنزيل برنامج تثبيت LetsVPN المخترق. عند التنفيذ، ينشر برنامج التثبيت هذا حمولة وسيطة، والتي تقوم بجلب وتنشيط المكونات الأساسية للباب الخلفي.

تكتيكات التهرب والتنفيذ المتقدمة

يعتمد PLAYFULGHOST على تقنيات التخفي المختلفة للهروب من الاكتشاف وإنشاء موطئ قدم في الأنظمة المخترقة. وتشمل هذه التقنيات اختطاف ترتيب البحث في DLL والتحميل الجانبي لـ DLL لإدخال DLL مخترق، والذي يقوم بعد ذلك بفك تشفير الباب الخلفي وحقنه في الذاكرة.

وفي طريقة تنفيذ أكثر تفصيلاً، لاحظ الباحثون استخدام ملف اختصار لنظام التشغيل Windows ('QQLaunch.lnk')، والذي يجمع بين ملفين إضافيين ('h' و't') لتوليد ملف DLL غير قانوني. ويتم تحميل ملف DLL هذا من خلال إصدار تمت إعادة تسميته من 'curl.exe'، مما يضمن نشرًا سريًا للباب الخلفي.

الاستمرارية وجمع البيانات

بمجرد التثبيت، يقوم PLAYFULGHOST بإنشاء استمرارية على النظام المصاب باستخدام تقنيات متعددة. تتضمن هذه التقنيات تعديل سجل Windows (مفتاح التشغيل)، وإنشاء مهام مجدولة، وإضافة إدخالات إلى مجلد بدء تشغيل Windows، والتسجيل كخدمة Windows.

تسمح قدرات الباب الخلفي بجمع مجموعة واسعة من المعلومات الحساسة، بما في ذلك ضغطات المفاتيح، ولقطات الشاشة، والتسجيلات الصوتية، وبيانات الحافظة، وتفاصيل برامج الأمان المثبتة، وبيانات التعريف الخاصة بالنظام وبيانات اعتماد حساب QQ. بالإضافة إلى ذلك، يمكنه تنفيذ أوامر لتعطيل تفاعلات المستخدم من خلال حظر مدخلات لوحة المفاتيح والفأرة، والتلاعب بسجلات الأحداث، ومسح محتوى الحافظة.

كما يتمتع برنامج PLAYFULGHOST بقدرات معالجة الملفات، مما يمكنه من مسح ذاكرة التخزين المؤقتة وملفات التعريف الخاصة بالمتصفح من تطبيقات مثل Sogou وQQ و360 Safety وFirefox وGoogle Chrome. كما يمكنه إزالة ملفات التعريف والتخزين المحلي المرتبط بمنصات المراسلة مثل Skype وTelegram وQQ.

نشر الأدوات الإضافية

إلى جانب PLAYFULGHOST، لوحظ أن الجهات الفاعلة في مجال التهديدات تنشر أدوات تكميلية لتعزيز سيطرتها على الأنظمة المصابة. ومن بين هذه الأدوات Mimikatz ، وهي أداة معروفة لتفريغ بيانات الاعتماد، ومجموعة أدوات مصممة لإخفاء إدخالات التسجيل والملفات والعمليات المحددة. بالإضافة إلى ذلك، تم تقديم أداة مساعدة مفتوحة المصدر تسمى Terminator لتعطيل آليات الأمان من خلال تقنية Bring Your Own Vulnerable Driver (BYOVD).

في حالة واحدة على الأقل، تم تضمين PLAYFULGHOST داخل BOOSTWAVE، وهو برنامج إسقاط في الذاكرة يعتمد على shellcode ويسهل نشر الحمولات القابلة للتنفيذ المحمولة (PE) الملحقة.

هدف ديموغرافي محتمل

يشير التركيز على تطبيقات مثل Sogou وQQ و360 Safety، إلى جانب استخدام LetsVPN كطُعم، إلى أن هذه الحملة تستهدف في المقام الأول مستخدمي Windows الناطقين بالصينية. ومع ذلك، تشير القدرات المتقدمة لتطبيق PLAYFULGHOST إلى إمكانية أوسع للاستغلال تتجاوز هذه الفئة السكانية المحددة.