Rabattilbud med flere licenser
Trusseldatabase Malware GHOSTFORM RAT

GHOSTFORM RAT

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

GHOSTFORM er en .NET-baseret fjernadgangstrojan (RAT), der er designet til at kombinere flere ondsindede funktioner i en enkelt eksekverbar binær fil. Malwaren udfører PowerShell-scripts direkte i hukommelsen, hvilket reducerer sandsynligheden for at blive opdaget af traditionelle sikkerhedsværktøjer. For yderligere at omgå sikkerhedsmekanismer bruger den teknikker som usynlige Windows-formularer og forsinkede udførelsestimere. På grund af dens skjulte adfærd og omfattende funktioner bør enhver detektion af GHOSTFORM udløse øjeblikkelig fjernelse og hændelsesresponsprocedurer.

Angrebskæde et: Malware-implementering i flere trin

Den første angrebskæde begynder med levering af et adgangskodebeskyttet RAR-arkiv, der indeholder en falsk applikation designet til at ligne WinRAR. Når offeret åbner arkivet, udføres en dropper kendt som SPLITDROP. Denne dropper installerer to yderligere malware-komponenter: TWINTASK og TWINTALK.

SPLITDROP anmoder i første omgang om en adgangskode fra offeret for at udpakke et skjult arkiv. Hvis arkivet allerede findes på systemet, stopper udførelsen. Ellers dekrypterer dropperen en integreret nyttelast i baggrunden, mens den viser en vildledende fejlmeddelelse til brugeren. Det dekrypterede indhold gemmes i mappen 'C:\ProgramData\PolGuid', hvorefter en legitim eksekverbar fil ved navn VLC.exe startes for at fremme angrebet.

Når VLC.exe er udført, indlæser den et ondsindet dynamisk linkbibliotek kaldet TWINTASK via DLL-sideloading. Denne komponent venter på instruktioner fra angriberen og udfører dem ved hjælp af PowerShell. Adskillige kommandoer bruges specifikt til at etablere persistens i systemet og starte den næste fase af kompromitteringen. Som en del af denne proces starter et script WingetUI.exe og opretter registreringsdatabaseposter, der sikrer, at både VLC.exe og WingeUI.exe automatisk kører, når systemet genstartes.

TWINTALK og TWINTASK: Koordineret kommandoudførelse

Når WingetUI.exe køres, indlæser den et andet ondsindet modul kendt som TWINTALK. Denne komponent opretter forbindelse til angriberens kommando- og kontrolserver og henter instruktioner. TWINTALK arbejder sammen med TWINTASK for at udføre kommandoer på den kompromitterede maskine.

TWINTALK understøtter tre primære kommandokategorier:

  • Kommandoudførelse på den inficerede enhed
  • Fildownload fra angriberens infrastruktur
  • Filupload fra det kompromitterede system til angriberen

Gennem disse funktioner får angribere omfattende kontrol over det inficerede miljø.

Angrebskæde to: Direkte GHOSTFORM-udførelse

Den anden angrebskæde bruger selve GHOSTFORM til at udføre alle de funktioner, der håndteres af flere komponenter i den første kæde. I stedet for at installere flere filer eller stole på DLL-sideloading, udfører denne variant PowerShell-kommandoer direkte i hukommelsen.

For at forblive uopdaget opretter malwaren en usynlig Windows-formular, der forsinker udførelsen, før nyttelasten kører. Derudover bruger kampagnen Google Forms som en del af et social engineering-lokkemiddel for at tilskynde ofrene til at starte den ondsindede aktivitet.

Undvigelses- og vedholdenhedsteknikker

GHOSTFORM inkorporerer flere mekanismer designet til at reducere detektion og opretholde langvarig adgang til kompromitterede systemer. Malwaren forsinker bevidst sin aktivitet ved at generere en næsten usynlig Windows-formular, der kører en timer med en tilfældigt bestemt forsinkelse, før den fortsætter udførelsen.

Den opretter også en mutex for at sikre, at kun én instans af malwaren kører på systemet, og genererer en unik bot-identifikator til sporing af inficerede maskiner. Fjernadgangs-trojanere af denne type bruges almindeligvis til at implementere yderligere nyttelast, stjæle følsomme data og filer eller udføre andre ondsindede handlinger i offermiljøet.

Nøglefunktioner, der ofte er forbundet med kampagnen, omfatter:

  • Implementering af yderligere malware-nyttelast
  • Tyveri af information og filer fra inficerede enheder
  • Fjernudførelse af kommandoer via PowerShell
  • Langvarig vedholdenhed i kompromitterede systemer

ClickFix Social Engineering: Menneskefokuseret infektionsvektor

Kampagnen er ikke udelukkende afhængig af levering af malware. Den inkorporerer også en social engineering-teknik kendt som ClickFix til at kompromittere systemer. Angribere skaber overbevisende falske websider designet til at manipulere brugere til at udføre ondsindede kommandoer.

Eksempler omfatter forfalskede Cisco Webex-mødeinvitationer eller falske webformularer, der ser legitime ud. Ofrene bliver bedt om at køre kommandoer, der automatisk downloader og udfører malware, hvilket ubevidst starter kompromitteringen.

Blanding af malware og bedrag

Denne kampagne demonstrerer en koordineret tilgang, der kombinerer teknisk malwareudrulning med psykologisk manipulation. Angribere distribuerer ondsindede filer forklædt som harmløse programmer, der ligner WinRAR-værktøjer. Når filerne åbnes, injicerer de skjulte malwarekomponenter i operativsystemet.

Når den er installeret, kører en af komponenterne lydløst i baggrunden og tjekker med jævne mellemrum angriberens server for krypterede instruktioner og udfører dem via PowerShell. Parallelt hermed bruger ClickFix-lignende angreb falske spørgeskemaer, vildledende mødeinvitationer eller svigagtige onlineformularer til at overtale brugerne til at udføre kommandoer, der udløser malware-downloads.

Ved at kombinere avancerede malwareværktøjer som TWINTASK, TWINTALK og GHOSTFORM med omhyggeligt udformede social engineering-teknikker, øger trusselsaktører succesraten for systemkompromittering betydeligt og opretholder vedvarende fjernkontrol over inficerede enheder.

Trending

Mest sete

Indlæser...