GHOSTFORM RAT
GHOSTFORM е .NET-базиран троянски кон за отдалечен достъп (RAT), предназначен да комбинира няколко злонамерени възможности в един изпълним двоичен файл. Злонамереният софтуер изпълнява PowerShell скриптове директно в паметта, намалявайки вероятността от откриване от традиционните инструменти за сигурност. За да заобиколи допълнително механизмите за сигурност, той използва техники като невидими Windows форми и таймери за забавено изпълнение. Поради скритото си поведение и обширните си възможности, всяко откриване на GHOSTFORM би трябвало да задейства незабавно премахване и процедури за реагиране при инциденти.
Съдържание
Атака верига едно: Многоетапно внедряване на зловреден софтуер
Първата верига на атака започва с доставката на защитен с парола RAR архив, съдържащ фалшиво приложение, проектирано да наподобява WinRAR. Когато жертвата отвори архива, се изпълнява програма, известна като SPLITDROP. Тази програма инсталира два допълнителни компонента на зловредния софтуер: TWINTASK и TWINTALK.
SPLITDROP първоначално изисква парола от жертвата, за да извлече скрит архив. Ако архивът вече е наличен в системата, изпълнението спира. В противен случай, дропърът декриптира вграден полезен товар във фонов режим, като същевременно показва подвеждащо съобщение за грешка на потребителя. Декриптираното съдържание се съхранява в директорията „C:\ProgramData\PolGuid“, след което се стартира легитимен изпълним файл с име VLC.exe, за да се продължи атаката.
След като бъде изпълнен, VLC.exe зарежда злонамерена динамична библиотека с връзки, наречена TWINTASK, чрез странично зареждане на DLL. Този компонент чака инструкции от нападателя и ги изпълнява с помощта на PowerShell. Няколко команди се използват специално за установяване на постоянство в системата и иницииране на следващия етап от компрометирането. Като част от този процес, скрипт стартира WingetUI.exe и създава записи в системния регистър, гарантирайки, че както VLC.exe, така и WingetUI.exe се стартират автоматично при рестартиране на системата.
TWINTALK и TWINTASK: Координирано изпълнение на команди
Когато WingetUI.exe се изпълни, той зарежда друг злонамерен модул, известен като TWINTALK. Този компонент се свързва със сървъра за командно-контролни операции на атакуващия и извлича инструкции. TWINTALK работи съвместно с TWINTASK, за да изпълнява команди на компрометираната машина.
TWINTALK поддържа три основни категории команди:
- Изпълнение на команда на заразеното устройство
- Изтегляне на файлове от инфраструктурата на нападателя
- Качване на файлове от компрометираната система към нападателя
Чрез тези възможности, нападателите получават широк контрол над заразената среда.
Втора верига на атаки: Директно изпълнение на GHOSTFORM
Втората верига за атака използва самия GHOSTFORM, за да изпълнява всички функции, обработвани от множество компоненти в първата верига. Вместо да разполага няколко файла или да разчита на странично зареждане на DLL, този вариант изпълнява PowerShell команди директно в паметта.
За да остане незабелязан, зловредният софтуер създава невидим формуляр на Windows, който забавя изпълнението преди стартирането на полезния товар. Освен това кампанията използва Google Forms като част от примамка за социално инженерство, за да насърчи жертвите да инициират злонамерената дейност.
Техники за избягване и упоритост
GHOSTFORM включва множество механизми, предназначени да намалят откриваемостта и да поддържат дългосрочен достъп до компрометирани системи. Зловредният софтуер умишлено забавя активността си, като генерира почти невидим формуляр на Windows, който стартира таймер със случайно определено забавяне, преди да продължи изпълнението си.
Той също така създава mutex, за да гарантира, че само един екземпляр на зловредния софтуер се изпълнява в системата и генерира уникален идентификатор на бот за проследяване на заразените машини. Троянските коне за отдалечен достъп от този тип обикновено се използват за разполагане на допълнителни полезни товари, кражба на чувствителни данни и файлове или извършване на други злонамерени операции в средата на жертвата.
Ключовите възможности, обикновено свързани с кампанията, включват:
- Разгръщане на допълнителни полезни товари от зловреден софтуер
- Кражба на информация и файлове от заразени устройства
- Дистанционно изпълнение на команди чрез PowerShell
- Дългосрочно персистиране в компрометирани системи
Социално инженерство на ClickFix: Вектор на инфекция, фокусиран върху човека
Кампанията не разчита единствено на разпространение на зловреден софтуер. Тя включва и техника за социално инженерство, известна като ClickFix , за компрометиране на системи. Нападателите създават убедителни фалшиви уеб страници, предназначени да манипулират потребителите да изпълняват злонамерени команди.
Примерите включват фалшиви покани за срещи на Cisco Webex или измамнически уеб формуляри, които изглеждат легитимни. Жертвите са инструктирани да изпълняват команди, които автоматично изтеглят и изпълняват зловреден софтуер, като несъзнателно инициират компрометирането.
Смесване на зловреден софтуер и измама
Тази кампания демонстрира координиран подход, който съчетава внедряване на технически зловреден софтуер с психологическа манипулация. Нападателите разпространяват злонамерени файлове, маскирани като безобидни програми, наподобяващи помощни програми WinRAR. Когато бъдат отворени, файловете инжектират скрити компоненти на зловреден софтуер в операционната система.
След като бъде инсталиран, един от компонентите работи тихо във фонов режим, като периодично проверява сървъра на нападателя за криптирани инструкции и ги изпълнява чрез PowerShell. Успоредно с това, атаките в стил ClickFix разчитат на фалшиви анкети, подвеждащи покани за срещи или измамни онлайн формуляри, за да убедят потребителите да изпълняват команди, които задействат изтегляния на зловреден софтуер.
Чрез комбиниране на усъвършенствани инструменти за злонамерен софтуер като TWINTASK, TWINTALK и GHOSTFORM с внимателно разработени техники за социално инженерство, злонамерените лица значително увеличават процента на успех при компрометиране на системата и поддържат постоянен дистанционен контрол над заразените устройства.
