PLAYFULGHOST Malware
Cybersikkerhedseksperter har identificeret en nyligt opstået trussel kaldet PLAYFULGHOST, en bagdør udstyret med et bredt spektrum af informationsindsamlingsfunktioner. Dette inkluderer keylogging, skærm- og lydoptagelse, ekstern shell-adgang og filoverførsel eller eksekveringsmuligheder.
Indholdsfortegnelse
En forbindelse til Gh0st RAT
PLAYFULGHOST udviser funktionelle ligheder med Gh0st RAT , et velkendt fjernadministrationsværktøj, der blev bredt tilgængeligt, efter dets kildekode blev lækket i 2008. Dette tyder på, at trusselsaktørerne bag PLAYFULGHOST kan have bygget på det ældre værktøjs fundament, mens de introducerede forbedringer for at udvide dens evner.
Indledende infektionsvektorer
Trusselsaktørerne bag PLAYFULGHOST anvender flere teknikker for at få indledende adgang til målsystemer. Disse omfatter phishing-kampagner, der udnytter adfærdskodeks-relaterede temaer og SEO-forgiftningstaktikker til at distribuere trojanske versioner af legitime VPN-applikationer såsom LetsVPN.
I et phishing-angreb bliver ofre narret til at åbne et beskadiget RAR-arkiv, der udgiver sig som en billedfil ved at bruge en vildledende '.jpg'-udvidelse. Når det udpakkes og udføres, taber arkivet en skadelig Windows-eksekverbar fil, som derefter henter og starter PLAYFULGHOST fra en ekstern server.
SEO-forgiftning bruges på den anden side til at lokke intetanende brugere til at downloade et kompromitteret LetsVPN-installationsprogram. Ved udførelse implementerer dette installationsprogram en mellemliggende nyttelast, som henter og aktiverer bagdørens kernekomponenter.
Avanceret undvigelses- og udførelsestaktik
PLAYFULGHOST er afhængig af forskellige stealth-teknikker for at løbe væk fra detektion og etablere fodfæste på kompromitterede systemer. Disse omfatter DLL-søgeordrekapring og DLL-sideindlæsning for at introducere en kompromitteret DLL, som derefter dekrypterer og injicerer bagdøren i hukommelsen.
I en mere omfattende udførelsesmetode observerede forskere brugen af en Windows-genvejsfil ('QQLaunch.lnk'), som kombinerer to yderligere filer ('h' og 't') for at generere en falsk DLL. Denne DLL sideindlæses gennem en omdøbt version af 'curl.exe', hvilket sikrer en skjult implementering af bagdøren.
Persistens og dataindsamling
Når det er installeret, etablerer PLAYFULGHOST persistens på det inficerede system ved hjælp af flere teknikker. Disse omfatter ændring af Windows-registreringsdatabasen (Run-nøgle), oprettelse af planlagte opgaver, tilføjelse af poster til Windows Startup-mappen og registrering som en Windows-tjeneste.
Bagdørens muligheder gør det muligt for den at indsamle en bred vifte af følsomme oplysninger, herunder tastetryk, skærmbilleder, lydoptagelser, klippebordsdata, detaljer om installeret sikkerhedssoftware, systemmetadata og QQ-kontolegitimationsoplysninger. Derudover kan den udføre kommandoer for at forstyrre brugerinteraktioner ved at blokere tastatur- og museindgange, manipulere med hændelseslogfiler og rydde indhold fra udklipsholderen.
PLAYFULGHOST udviser også filmanipulationsfunktioner, hvilket gør det muligt at slette browsercaches og profiler fra applikationer som Sogou, QQ, 360 Safety, Firefox og Google Chrome. Det kan yderligere fjerne profiler og lokal lagring forbundet med meddelelsesplatforme som Skype, Telegram og QQ.
Implementering af yderligere værktøjer
Ved siden af PLAYFULGHOST er trusselsaktører blevet observeret, der implementerer supplerende værktøjer for at styrke deres kontrol over inficerede systemer. Blandt disse er Mimikatz , et velkendt værktøj til dumping af legitimationsoplysninger, og et rootkit designet til at skjule specifikke registreringsposter, filer og processer. Derudover introduceres et open source-værktøj kaldet Terminator for at deaktivere sikkerhedsmekanismer gennem en Bring Your Own Vulnerable Driver (BYOVD)-teknik.
I mindst ét tilfælde er PLAYFULGHOST blevet integreret i BOOSTWAVE, en shellcode-baseret in-memory dropper, der letter implementeringen af tilføjede Portable Executable (PE) nyttelaster.
En mulig måldemografi
Fokus på applikationer som Sogou, QQ og 360 Safety, kombineret med brugen af LetsVPN som lokkemiddel, antyder, at denne kampagne primært er rettet mod kinesisktalende Windows-brugere. PLAYFULGHOSTs avancerede egenskaber indikerer dog et bredere potentiale for udnyttelse ud over denne specifikke demografi.
