PLAYFULGHOST Malware
Odborníci na kybernetickou bezpečnost identifikovali nově se objevující hrozbu nazvanou PLAYFULGHOST, zadní vrátka vybavená širokým spektrem funkcí shromažďování informací. To zahrnuje keylogging, snímání obrazovky a zvuku, vzdálený přístup k shellu a možnosti přenosu nebo provádění souborů.
Obsah
Připojení k Gh0st RAT
PLAYFULGHOST vykazuje funkční podobnosti s Gh0st RAT , známým nástrojem pro vzdálenou správu, který se stal široce dostupným po úniku jeho zdrojového kódu v roce 2008. To naznačuje, že aktéři hrozeb stojící za PLAYFULGHOST mohli stavět na základech staršího nástroje a zavádět vylepšení pro rozšíření jeho schopnosti.
Počáteční infekční vektory
Aktéři hrozeb za PLAYFULGHOST používají několik technik k získání počátečního přístupu k cílovým systémům. Patří mezi ně phishingové kampaně, které využívají témata související s kodexem chování a taktiky otravy SEO k distribuci trojanizovaných verzí legitimních aplikací VPN, jako je LetsVPN.
Ve scénáři phishingového útoku jsou oběti oklamány, aby otevřely poškozený archiv RAR, který se maskuje jako soubor s obrázkem pomocí zavádějící přípony „.jpg“. Po rozbalení a spuštění archiv zahodí škodlivý spustitelný soubor Windows, který pak načte a spustí PLAYFULGHOST ze vzdáleného serveru.
Na druhé straně otrava SEO se používá k nalákání nic netušících uživatelů ke stažení kompromitovaného instalačního programu LetsVPN. Po spuštění tento instalační program nasadí zprostředkující užitečné zatížení, které načte a aktivuje základní komponenty zadních vrátek.
Pokročilá taktika úniku a popravy
PLAYFULGHOST spoléhá na různé stealth techniky, aby utekla před detekcí a vytvořila oporu na kompromitovaných systémech. Patří mezi ně únos příkazu k vyhledávání DLL a boční načítání DLL za účelem zavedení kompromitované knihovny DLL, která pak dešifruje a vloží zadní vrátka do paměti.
V propracovanější metodě provádění výzkumníci pozorovali použití souboru zkratky Windows ('QQLaunch.lnk'), který kombinuje dva další soubory ('h' a 't') za účelem generování nečestné DLL. Tato knihovna DLL je načtena přes přejmenovanou verzi 'curl.exe', která zajišťuje skryté nasazení zadních vrátek.
Perzistence a sběr dat
Jakmile je PLAYFULGHOST nainstalován, nastolí perzistenci na infikovaném systému pomocí několika technik. Patří mezi ně úprava registru systému Windows (klíč Run), vytváření naplánovaných úloh, přidávání položek do složky Po spuštění systému Windows a registrace jako služba systému Windows.
Možnosti backdoor umožňují shromažďovat širokou škálu citlivých informací, včetně úhozů, snímků obrazovky, zvukových nahrávek, dat ze schránky, podrobností o nainstalovaném bezpečnostním softwaru, systémových metadat a přihlašovacích údajů k účtu QQ. Kromě toho může spouštět příkazy k narušení uživatelských interakcí blokováním vstupů z klávesnice a myši, manipulací s protokoly událostí a vymazáním obsahu schránky.
PLAYFULGHOST také vykazuje možnosti manipulace se soubory, které mu umožňují vymazat mezipaměť prohlížeče a profily z aplikací jako Sogou, QQ, 360 Safety, Firefox a Google Chrome. Dále může odstranit profily a místní úložiště spojené s platformami pro zasílání zpráv, jako je Skype, Telegram a QQ.
Nasazení dalších nástrojů
Vedle hry PLAYFULGHOST byli aktéři hrozeb pozorováni, jak nasazují doplňkové nástroje k posílení své kontroly nad infikovanými systémy. Mezi ně patří Mimikatz , známý nástroj pro ukládání pověření, a rootkit navržený tak, aby skrýval specifické položky registru, soubory a procesy. Navíc je představen open-source nástroj s názvem Terminator, který deaktivuje bezpečnostní mechanismy pomocí techniky Bring Your Own Vulnerable Driver (BYOVD).
Alespoň v jednom případě byl PLAYFULGHOST zabudován do BOOSTWAVE, in-memory dropperu založeného na shell kódu, který usnadňuje nasazení připojených datových částí Portable Executable (PE).
Možná cílová demografická skupina
Zaměření na aplikace jako Sogou, QQ a 360 Safety v kombinaci s použitím LetsVPN jako návnady naznačuje, že tato kampaň se primárně zaměřuje na čínsky mluvící uživatele Windows. Pokročilé schopnosti PLAYFULGHOST však naznačují širší potenciál pro využití mimo tuto specifickou demografickou skupinu.
