Κακόβουλο λογισμικό PLAYFULGHOST
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα απειλή που ονομάστηκε PLAYFULGHOST, μια κερκόπορτα εξοπλισμένη με ένα ευρύ φάσμα λειτουργιών συλλογής πληροφοριών. Αυτό περιλαμβάνει καταγραφή πλήκτρων, καταγραφή οθόνης και ήχου, απομακρυσμένη πρόσβαση κελύφους και δυνατότητες μεταφοράς ή εκτέλεσης αρχείων.
Πίνακας περιεχομένων
Μια σύνδεση με το Gh0st RAT
Το PLAYFULGHOST εμφανίζει λειτουργικές ομοιότητες με το Gh0st RAT , ένα πολύ γνωστό εργαλείο απομακρυσμένης διαχείρισης που έγινε ευρέως διαθέσιμο μετά τη διαρροή του πηγαίου κώδικα του το 2008. Αυτό υποδηλώνει ότι οι παράγοντες απειλών πίσω από το PLAYFULGHOST μπορεί να είχαν στηρίξει τη βάση του παλαιότερου εργαλείου, ενώ εισήγαγαν βελτιώσεις για επέκταση τις δυνατότητές του.
Αρχικοί φορείς μόλυνσης
Οι παράγοντες απειλών πίσω από το PLAYFULGHOST χρησιμοποιούν πολλαπλές τεχνικές για να αποκτήσουν αρχική πρόσβαση στα συστήματα-στόχους. Αυτές περιλαμβάνουν καμπάνιες phishing που αξιοποιούν θέματα που σχετίζονται με τον κώδικα δεοντολογίας και τακτικές δηλητηρίασης SEO για τη διανομή trojanized εκδόσεων νόμιμων εφαρμογών VPN όπως το LetsVPN.
Σε ένα σενάριο επίθεσης phishing, τα θύματα εξαπατούνται για να ανοίξουν ένα κατεστραμμένο αρχείο RAR που μεταμφιέζεται σε αρχείο εικόνας χρησιμοποιώντας μια παραπλανητική επέκταση «.jpg». Όταν εξάγεται και εκτελείται, το αρχείο ρίχνει ένα επιβλαβές εκτελέσιμο αρχείο των Windows, το οποίο στη συνέχεια ανακτά και εκκινεί το PLAYFULGHOST από έναν απομακρυσμένο διακομιστή.
Η δηλητηρίαση SEO, από την άλλη πλευρά, χρησιμοποιείται για να παρασύρει ανυποψίαστους χρήστες να κατεβάσουν ένα παραβιασμένο πρόγραμμα εγκατάστασης LetsVPN. Κατά την εκτέλεση, αυτό το πρόγραμμα εγκατάστασης αναπτύσσει ένα ενδιάμεσο ωφέλιμο φορτίο, το οποίο ανακτά και ενεργοποιεί τα βασικά στοιχεία της κερκόπορτας.
Προηγμένες τακτικές φοροδιαφυγής και εκτέλεσης
Το PLAYFULGHOST βασίζεται σε διάφορες τεχνικές stealth για να ξεφύγει από τον εντοπισμό και να εδραιώσει τη θέση του σε παραβιασμένα συστήματα. Αυτά περιλαμβάνουν την παραβίαση εντολής αναζήτησης DLL και την παράπλευρη φόρτωση DLL για την εισαγωγή ενός παραβιασμένου DLL, το οποίο στη συνέχεια αποκρυπτογραφεί και εισάγει την κερκόπορτα στη μνήμη.
Σε μια πιο περίπλοκη μέθοδο εκτέλεσης, οι ερευνητές παρατήρησαν τη χρήση ενός αρχείου συντόμευσης των Windows ('QQLaunch.lnk'), το οποίο συνδυάζει δύο πρόσθετα αρχεία ('h' και 't') για να δημιουργήσει ένα αδίστακτο DLL. Αυτό το DLL φορτώνεται πλευρικά μέσω μιας μετονομασμένης έκδοσης του 'curl.exe', διασφαλίζοντας μια κρυφή ανάπτυξη του backdoor.
Εμμονή και Συλλογή Δεδομένων
Μόλις εγκατασταθεί, το PLAYFULGHOST καθιερώνει επιμονή στο μολυσμένο σύστημα χρησιμοποιώντας πολλαπλές τεχνικές. Αυτά περιλαμβάνουν την τροποποίηση του μητρώου των Windows (κλειδί εκτέλεσης), τη δημιουργία προγραμματισμένων εργασιών, την προσθήκη καταχωρήσεων στο φάκελο εκκίνησης των Windows και την εγγραφή ως υπηρεσία των Windows.
Οι δυνατότητες του backdoor του επιτρέπουν να συλλέγει ένα ευρύ φάσμα ευαίσθητων πληροφοριών, συμπεριλαμβανομένων πλήκτρων, στιγμιότυπων οθόνης, εγγραφών ήχου, δεδομένων προχείρου, λεπτομερειών εγκατεστημένου λογισμικού ασφαλείας, μεταδεδομένων συστήματος και διαπιστευτηρίων λογαριασμού QQ. Επιπλέον, μπορεί να εκτελέσει εντολές για να διαταράξει τις αλληλεπιδράσεις των χρηστών αποκλείοντας εισόδους πληκτρολογίου και ποντικιού, παραβιάζοντας τα αρχεία καταγραφής συμβάντων και εκκαθαρίζοντας το περιεχόμενο του προχείρου.
Το PLAYFULGHOST παρουσιάζει επίσης δυνατότητες χειρισμού αρχείων, επιτρέποντάς του να διαγράφει τις κρυφές μνήμες και τα προφίλ του προγράμματος περιήγησης από εφαρμογές όπως οι Sogou, QQ, 360 Safety, Firefox και Google Chrome. Μπορεί να αφαιρέσει περαιτέρω προφίλ και τοπική αποθήκευση που σχετίζονται με πλατφόρμες ανταλλαγής μηνυμάτων όπως το Skype, το Telegram και το QQ.
Ανάπτυξη πρόσθετων εργαλείων
Παράλληλα με το PLAYFULGHOST, παράγοντες απειλών έχουν παρατηρηθεί να αναπτύσσουν συμπληρωματικά εργαλεία για να ενισχύσουν τον έλεγχό τους σε μολυσμένα συστήματα. Μεταξύ αυτών είναι το Mimikatz , ένα πολύ γνωστό εργαλείο απόρριψης διαπιστευτηρίων και ένα rootkit που έχει σχεδιαστεί για την απόκρυψη συγκεκριμένων καταχωρίσεων μητρώου, αρχείων και διεργασιών. Επιπλέον, εισάγεται ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα που ονομάζεται Terminator για την απενεργοποίηση μηχανισμών ασφαλείας μέσω μιας τεχνικής Bring Your Own Vulnerable Driver (BYOVD).
Σε τουλάχιστον μία περίπτωση, το PLAYFULGHOST έχει ενσωματωθεί στο BOOSTWAVE, ένα σταγονόμετρο στη μνήμη που βασίζεται σε κώδικες κελύφους που διευκολύνει την ανάπτυξη των συνημμένων ωφέλιμων φορτίων Portable Executable (PE).
Πιθανός δημογραφικός στόχος
Η εστίαση σε εφαρμογές όπως το Sogou, το QQ και το 360 Safety, σε συνδυασμό με τη χρήση του LetsVPN ως δέλεαρ, υποδηλώνει ότι αυτή η καμπάνια απευθύνεται κυρίως σε χρήστες Windows που μιλούν κινεζικά. Ωστόσο, οι προηγμένες δυνατότητες του PLAYFULGHOST υποδεικνύουν ένα ευρύτερο δυναμικό εκμετάλλευσης πέρα από αυτό το συγκεκριμένο δημογραφικό.
