Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό GHOSTFORM RAT

GHOSTFORM RAT

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Το GHOSTFORM είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε .NET και έχει σχεδιαστεί για να συνδυάζει διάφορες κακόβουλες δυνατότητες σε ένα μόνο εκτελέσιμο δυαδικό αρχείο. Το κακόβουλο λογισμικό εκτελεί σενάρια PowerShell απευθείας στη μνήμη, μειώνοντας την πιθανότητα ανίχνευσης από τα παραδοσιακά εργαλεία ασφαλείας. Για να αποφύγει περαιτέρω τους μηχανισμούς ασφαλείας, χρησιμοποιεί τεχνικές όπως αόρατες φόρμες των Windows και χρονόμετρα καθυστερημένης εκτέλεσης. Λόγω της αθόρυβης συμπεριφοράς και των εκτεταμένων δυνατοτήτων του, οποιαδήποτε ανίχνευση του GHOSTFORM θα πρέπει να ενεργοποιεί διαδικασίες άμεσης αφαίρεσης και απόκρισης σε περιστατικά.

Attack Chain One: Ανάπτυξη κακόβουλου λογισμικού σε πολλαπλά στάδια

Η πρώτη αλυσίδα επίθεσης ξεκινά με την παράδοση ενός αρχείου RAR που προστατεύεται με κωδικό πρόσβασης και περιέχει μια ψεύτικη εφαρμογή σχεδιασμένη να μοιάζει με το WinRAR. Όταν το θύμα ανοίγει το αρχείο, εκτελείται ένα πρόγραμμα απόθεσης γνωστό ως SPLITDROP. Αυτό το πρόγραμμα απόθεσης εγκαθιστά δύο επιπλέον στοιχεία κακόβουλου λογισμικού: το TWINTASK και το TWINTALK.

Το SPLITDROP αρχικά ζητά έναν κωδικό πρόσβασης από το θύμα για να εξαγάγει ένα κρυφό αρχείο. Εάν το αρχείο υπάρχει ήδη στο σύστημα, η εκτέλεση σταματά. Διαφορετικά, το dropper αποκρυπτογραφεί ένα ενσωματωμένο payload στο παρασκήνιο, εμφανίζοντας ένα παραπλανητικό μήνυμα σφάλματος στον χρήστη. Το αποκρυπτογραφημένο περιεχόμενο αποθηκεύεται στον κατάλογο 'C:\ProgramData\PolGuid', μετά το οποίο εκκινείται ένα νόμιμο εκτελέσιμο αρχείο με το όνομα VLC.exe για να προωθήσει την επίθεση.

Μόλις εκτελεστεί, το VLC.exe φορτώνει μια κακόβουλη βιβλιοθήκη δυναμικών συνδέσμων που ονομάζεται TWINTASK μέσω παράπλευρης φόρτωσης DLL. Αυτό το στοιχείο περιμένει οδηγίες από τον εισβολέα και τις εκτελεί χρησιμοποιώντας το PowerShell. Αρκετές εντολές χρησιμοποιούνται ειδικά για να δημιουργήσουν επιμονή εντός του συστήματος και να ξεκινήσουν το επόμενο στάδιο της παραβίασης. Στο πλαίσιο αυτής της διαδικασίας, ένα σενάριο εκκινεί το WingetUI.exe και δημιουργεί καταχωρήσεις μητρώου διασφαλίζοντας ότι τόσο το VLC.exe όσο και το WingetUI.exe εκτελούνται αυτόματα κάθε φορά που επανεκκινείται το σύστημα.

TWINTALK και TWINTASK: Συντονισμένη Εκτέλεση Εντολών

Όταν εκτελείται το WingetUI.exe, φορτώνει μια άλλη κακόβουλη ενότητα γνωστή ως TWINTALK. Αυτό το στοιχείο συνδέεται με τον διακομιστή εντολών και ελέγχου του εισβολέα και ανακτά οδηγίες. Το TWINTALK συνεργάζεται με το TWINTASK για την εκτέλεση εντολών στον παραβιασμένο υπολογιστή.

Το TWINTALK υποστηρίζει τρεις κύριες κατηγορίες εντολών:

  • Εκτέλεση εντολών στη μολυσμένη συσκευή
  • Λήψη αρχείου από την υποδομή του εισβολέα
  • Μεταφόρτωση αρχείου από το παραβιασμένο σύστημα στον εισβολέα

Μέσω αυτών των δυνατοτήτων, οι επιτιθέμενοι αποκτούν εκτεταμένο έλεγχο στο μολυσμένο περιβάλλον.

Αλυσίδα Επίθεσης Δύο: Άμεση Εκτέλεση GHOSTFORM

Η δεύτερη αλυσίδα επίθεσης χρησιμοποιεί το ίδιο το GHOSTFORM για να εκτελέσει όλες τις λειτουργίες που χειρίζονται πολλά στοιχεία στην πρώτη αλυσίδα. Αντί να αναπτύσσει πολλά αρχεία ή να βασίζεται σε παράπλευρη φόρτωση DLL, αυτή η παραλλαγή εκτελεί εντολές PowerShell απευθείας στη μνήμη.

Για να παραμείνει απαρατήρητο, το κακόβουλο λογισμικό δημιουργεί μια αόρατη φόρμα των Windows που καθυστερεί την εκτέλεση πριν από την εκτέλεση του ωφέλιμου φορτίου. Επιπλέον, η καμπάνια χρησιμοποιεί τις Φόρμες Google ως μέρος ενός δολώματος κοινωνικής μηχανικής για να ενθαρρύνει τα θύματα να ξεκινήσουν την κακόβουλη δραστηριότητα.

Τεχνικές αποφυγής και επιμονής

Το GHOSTFORM ενσωματώνει πολλαπλούς μηχανισμούς που έχουν σχεδιαστεί για να μειώνουν την ανίχνευση και να διατηρούν μακροπρόθεσμη πρόσβαση σε παραβιασμένα συστήματα. Το κακόβουλο λογισμικό καθυστερεί σκόπιμα τη δραστηριότητά του δημιουργώντας μια σχεδόν αόρατη φόρμα των Windows που εκτελεί ένα χρονόμετρο με μια τυχαία καθορισμένη καθυστέρηση πριν συνεχίσει την εκτέλεση.

Δημιουργεί επίσης ένα mutex για να διασφαλίσει ότι μόνο μία παρουσία του κακόβουλου λογισμικού εκτελείται στο σύστημα και δημιουργεί ένα μοναδικό αναγνωριστικό bot για την παρακολούθηση μολυσμένων μηχανών. Τα trojan απομακρυσμένης πρόσβασης αυτού του τύπου χρησιμοποιούνται συνήθως για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων, την κλοπή ευαίσθητων δεδομένων και αρχείων ή την εκτέλεση άλλων κακόβουλων λειτουργιών στο περιβάλλον του θύματος.

Βασικές δυνατότητες που συνήθως συνδέονται με την καμπάνια περιλαμβάνουν:

  • Ανάπτυξη πρόσθετων φορτίων κακόβουλου λογισμικού
  • Κλοπή πληροφοριών και αρχείων από μολυσμένες συσκευές
  • Απομακρυσμένη εκτέλεση εντολών μέσω PowerShell
  • Μακροχρόνια παραμονή σε παραβιασμένα συστήματα

ClickFix Κοινωνική Μηχανική: Φορέας Μόλυνσης με Επίκεντρο τον Άνθρωπο

Η καμπάνια δεν βασίζεται αποκλειστικά στην παράδοση κακόβουλου λογισμικού. Ενσωματώνει επίσης μια τεχνική κοινωνικής μηχανικής γνωστή ως ClickFix για την παραβίαση συστημάτων. Οι εισβολείς δημιουργούν πειστικές ψεύτικες ιστοσελίδες που έχουν σχεδιαστεί για να χειραγωγούν τους χρήστες ώστε να εκτελούν κακόβουλες εντολές.

Παραδείγματα περιλαμβάνουν πλαστογραφημένες προσκλήσεις σε συσκέψεις Cisco Webex ή δόλιες διαδικτυακές φόρμες που φαίνονται νόμιμες. Τα θύματα λαμβάνουν οδηγίες να εκτελούν εντολές που κατεβάζουν και εκτελούν αυτόματα κακόβουλο λογισμικό, ξεκινώντας εν αγνοία τους την παραβίαση.

Συνδυασμός κακόβουλου λογισμικού και εξαπάτησης

Αυτή η καμπάνια επιδεικνύει μια συντονισμένη προσέγγιση που συνδυάζει την ανάπτυξη τεχνικού κακόβουλου λογισμικού με ψυχολογική χειραγώγηση. Οι εισβολείς διανέμουν κακόβουλα αρχεία που μεταμφιέζονται σε ακίνδυνα προγράμματα που μοιάζουν με βοηθητικά προγράμματα WinRAR. Όταν ανοίγουν, τα αρχεία εισάγουν κρυμμένα στοιχεία κακόβουλου λογισμικού στο λειτουργικό σύστημα.

Μόλις εγκατασταθεί, ένα από τα στοιχεία εκτελείται αθόρυβα στο παρασκήνιο, ελέγχοντας περιοδικά τον διακομιστή του εισβολέα για κρυπτογραφημένες οδηγίες και εκτελώντας τες μέσω του PowerShell. Παράλληλα, οι επιθέσεις τύπου ClickFix βασίζονται σε ψεύτικες έρευνες, παραπλανητικές προσκλήσεις σε συναντήσεις ή δόλιες ηλεκτρονικές φόρμες για να πείσουν τους χρήστες να εκτελέσουν εντολές που ενεργοποιούν λήψεις κακόβουλου λογισμικού.

Συνδυάζοντας προηγμένα εργαλεία κακόβουλου λογισμικού όπως τα TWINTASK, TWINTALK και GHOSTFORM με προσεκτικά σχεδιασμένες τεχνικές κοινωνικής μηχανικής, οι απειλητικοί παράγοντες αυξάνουν σημαντικά το ποσοστό επιτυχίας της παραβίασης του συστήματος και διατηρούν επίμονο απομακρυσμένο έλεγχο των μολυσμένων συσκευών.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
21,503
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...