Slevová nabídka pro více licencí
Databáze hrozeb Malware GHOSTFORM RAT

GHOSTFORM RAT

V roce Mezo v roce Malware, Nástroje pro vzdálenou správu
Přeložit do:

GHOSTFORM je trojský kůň pro vzdálený přístup (RAT) založený na .NET, který je navržen tak, aby kombinoval několik škodlivých funkcí do jednoho spustitelného binárního souboru. Malware spouští skripty PowerShellu přímo v paměti, čímž snižuje pravděpodobnost detekce tradičními bezpečnostními nástroji. Pro další obcházení bezpečnostních mechanismů používá techniky, jako jsou neviditelné formuláře Windows a časovače zpožděného spuštění. Vzhledem ke svému nenápadnému chování a rozsáhlým možnostem by jakákoli detekce GHOSTFORMU měla spustit okamžité odstranění a reakci na incident.

Řetězec útoku jedna: Vícestupňové nasazení malwaru

První útok začíná doručením heslem chráněného archivu RAR obsahujícího falešnou aplikaci navrženou tak, aby připomínala WinRAR. Když oběť archiv otevře, spustí se dropper s názvem SPLITDROP. Tento dropper nainstaluje dvě další malwarové komponenty: TWINTASK a TWINTALK.

SPLITDROP nejprve požádá oběť o heslo, aby mohl extrahovat skrytý archiv. Pokud je archiv již v systému přítomen, provádění se zastaví. V opačném případě dropper na pozadí dešifruje vložený obsah a zároveň uživateli zobrazí klamavou chybovou zprávu. Dešifrovaný obsah je uložen do adresáře „C:\ProgramData\PolGuid“, načež je spuštěn legitimní spustitelný soubor s názvem VLC.exe, který útok dále rozvíjí.

Po spuštění VLC.exe načte škodlivou dynamickou knihovnu s názvem TWINTASK pomocí bočního načítání DLL. Tato komponenta čeká na instrukce od útočníka a spouští je pomocí PowerShellu. Několik příkazů se používá konkrétně k zajištění perzistence v systému a zahájení další fáze kompromitace. Součástí tohoto procesu je spuštění skriptu WingetUI.exe a vytvoření položek registru, které zajistí, že se VLC.exe i WingetUI.exe automaticky spustí při každém restartu systému.

TWINTALK a TWINTASK: Koordinované provádění příkazů

Když je spuštěn WingetUI.exe, načte se další škodlivý modul známý jako TWINTALK. Tato komponenta se připojuje k útočníkovu velitelskému a kontrolnímu serveru a načítá instrukce. TWINTALK spolupracuje s TWINTASK na provádění příkazů na napadeném počítači.

TWINTALK podporuje tři hlavní kategorie příkazů:

  • Spuštění příkazu na infikovaném zařízení
  • Stažení souborů z infrastruktury útočníka
  • Nahrání souboru z napadeného systému útočníkovi

Díky těmto schopnostem útočníci získávají rozsáhlou kontrolu nad infikovaným prostředím.

Útočný řetězec dva: Přímé provedení GHOSTFORM

Druhý útočný řetězec využívá samotný GHOSTFORM k provádění všech funkcí, které zajišťuje více komponent v prvním řetězci. Namísto nasazení několika souborů nebo spoléhání se na boční načítání DLL spouští tato varianta příkazy PowerShellu přímo v paměti.

Aby zůstal nedetekován, malware vytváří neviditelný formulář ve Windows, který zpožďuje jeho spuštění před spuštěním datové části. Kampaň navíc využívá Google Forms jako součást lákadla sociálního inženýrství, které má oběti povzbudit k zahájení škodlivé aktivity.

Techniky úniku a vytrvalosti

GHOSTFORM obsahuje několik mechanismů určených ke snížení detekce a udržení dlouhodobého přístupu k napadeným systémům. Malware záměrně zpožďuje svou aktivitu generováním téměř neviditelného formuláře systému Windows, který spustí časovač s náhodně určeným zpožděním, než bude pokračovat v provádění.

Také vytváří mutex, který zajišťuje, že v systému běží pouze jedna instance malwaru, a generuje jedinečný identifikátor bota pro sledování infikovaných počítačů. Trojské koně pro vzdálený přístup tohoto typu se běžně používají k nasazení dalších dat, krádeži citlivých dat a souborů nebo provádění jiných škodlivých operací v prostředí oběti.

Mezi klíčové schopnosti běžně spojené s kampaní patří:

  • Nasazení dalších malwarových datových částí
  • Krádež informací a souborů z infikovaných zařízení
  • Vzdálené spuštění příkazů přes PowerShell
  • Dlouhodobá perzistence v rámci ohrožených systémů

Sociální inženýrství ClickFix: Vektor infekce zaměřený na člověka

Kampaň se nespoléhá pouze na doručování malwaru. Využívá také techniku sociálního inženýrství známou jako ClickFix , která ohrožuje systémy. Útočníci vytvářejí přesvědčivé falešné webové stránky, jejichž cílem je manipulovat uživatele a přimět je k provádění škodlivých příkazů.

Mezi příklady patří falešné pozvánky na schůzky Cisco Webex nebo podvodné webové formuláře, které se zdají být legitimní. Oběti jsou instruovány ke spuštění příkazů, které automaticky stahují a spouštějí malware, čímž nevědomky iniciují kompromitaci.

Míchání malwaru a podvodu

Tato kampaň demonstruje koordinovaný přístup, který kombinuje technické nasazení malwaru s psychologickou manipulací. Útočníci distribuují škodlivé soubory maskované jako neškodné programy připomínající utility WinRAR. Po otevření soubory vpraví do operačního systému skryté komponenty malwaru.

Po instalaci jedna z komponent běží tiše na pozadí, pravidelně kontroluje server útočníka, zda neobsahuje zašifrované instrukce, a spouští je pomocí PowerShellu. Souběžně s tím se útoky ve stylu ClickFix spoléhají na falešné průzkumy, klamavé pozvánky na schůzky nebo podvodné online formuláře, které uživatele přesvědčují k provedení příkazů, jež spouštějí stahování malwaru.

Kombinací pokročilých malwarových nástrojů, jako jsou TWINTASK, TWINTALK a GHOSTFORM, s pečlivě propracovanými technikami sociálního inženýrství útočníci výrazně zvyšují úspěšnost kompromitace systému a udržují si trvalou vzdálenou kontrolu nad infikovanými zařízeními.

Trendy

Nejvíce shlédnuto

Načítání...