PLAYFULGHOST Pahavara
Küberturvalisuse eksperdid on tuvastanud äsja esilekerkiva ohu, mille nimi on PLAYFULGHOST, tagauks, mis on varustatud laia teabe kogumise funktsioonide spektriga. See hõlmab klahvilogimist, ekraani- ja helihõivet, kesta kaugjuurdepääsu ning failiedastus- või täitmisvõimalusi.
Sisukord
Ühendus Gh0st RAT-iga
PLAYFULGHOSTil on funktsionaalsed sarnasused Gh0st RAT -iga, tuntud kaughaldustööriistaga, mis sai laialdaselt kättesaadavaks pärast selle lähtekoodi lekkimist 2008. aastal. See viitab sellele, et PLAYFULGHOSTi taga olevad ohus osalejad võisid tugineda vanemale tööriistale, võttes samal ajal kasutusele täiustusi laiendamiseks. selle võimeid.
Esialgsed nakkusvektorid
PLAYFULGHOSTi taga olevad ohutegijad kasutavad sihtsüsteemidele esialgse juurdepääsu saamiseks mitut tehnikat. Nende hulka kuuluvad andmepüügikampaaniad, mis kasutavad käitumiskoodeksiga seotud teemasid ja SEO-mürgimistaktikat, et levitada legitiimsete VPN-rakenduste (nt LetsVPN) troojastatud versioone.
Andmepüügirünnaku stsenaariumi korral meelitatakse ohvreid avama rikutud RAR-arhiivi, mis maskeerub pildifailina, kasutades eksitavat .jpg-laiendit. Ekstraheerimisel ja käivitamisel jätab arhiiv välja kahjuliku Windowsi käivitatava faili, mis seejärel toodab ja käivitab PLAYFULGHOSTi kaugserverist.
SEO-mürgitust kasutatakse seevastu pahaaimamatute kasutajate meelitamiseks ohustatud LetsVPN-i installija allalaadimiseks. Käivitamisel juurutab see installija vahekoormuse, mis tõmbab ja aktiveerib tagaukse põhikomponendid.
Täiustatud kõrvalehoidmise ja hukkamise taktikad
PLAYFULGHOST kasutab tuvastamise eest põgenemiseks ja ohustatud süsteemidele tugipunkti loomiseks erinevaid hiilimistehnikaid. Nende hulka kuuluvad DLL-i otsingujärjestuse kaaperdamine ja DLL-i külglaadimine, et viia sisse ohustatud DLL, mis seejärel dekrüpteerib ja sisestab tagaukse mällu.
Keerulisemas täitmismeetodis täheldasid teadlased Windowsi otseteefaili ('QQLaunch.lnk') kasutamist, mis ühendab kaks lisafaili ('h' ja 't'), et luua võlts-DLL-i. See DLL laaditakse külglaadimisel läbi 'curl.exe' ümbernimetatud versiooni, mis tagab tagaukse varjatud juurutamise.
Püsivus ja andmete kogumine
Pärast installimist loob PLAYFULGHOST nakatunud süsteemi püsivuse, kasutades mitut tehnikat. Nende hulka kuuluvad Windowsi registri muutmine (käivita võti), ajastatud toimingute loomine, Windowsi käivituskausta kirjete lisamine ja Windowsi teenusena registreerimine.
Tagaukse võimalused võimaldavad koguda laia valikut tundlikku teavet, sealhulgas klahvivajutused, ekraanipildid, helisalvestised, lõikelaua andmed, installitud turvatarkvara üksikasjad, süsteemi metaandmed ja QQ konto mandaadid. Lisaks võib see käivitada käske, et häirida kasutaja interaktsioone, blokeerides klaviatuuri ja hiire sisendid, rikkudes sündmuste logisid ja tühjendades lõikepuhvri sisu.
PLAYFULGHOST pakub ka failidega manipuleerimise võimalusi, mis võimaldab kustutada brauseri vahemälu ja profiile sellistest rakendustest nagu Sogou, QQ, 360 Safety, Firefox ja Google Chrome. See võib veelgi eemaldada profiile ja kohalikku salvestusruumi, mis on seotud sõnumsideplatvormidega, nagu Skype, Telegram ja QQ.
Lisatööriistade juurutamine
Lisaks PLAYFULGHOSTile on täheldatud, et ohus osalejad kasutavad täiendavaid tööriistu, et tugevdada kontrolli nakatunud süsteemide üle. Nende hulgas on Mimikatz , tuntud volikirjade kustutamise tööriist ja juurkomplekt, mis on loodud konkreetsete registrikirjete, failide ja protsesside varjamiseks. Lisaks tutvustatakse avatud lähtekoodiga utiliiti nimega Terminator, et keelata turvamehhanismid BYOVD (Bring Your Own Vulnerable Driver) tehnika abil.
Vähemalt ühel juhul on PLAYFULGHOST manustatud BOOSTWAVE'i, shellkoodipõhisesse mälusisene tilgutisse, mis hõlbustab lisatud kaasaskantavate käivitatavate (PE) kasulike koormuste juurutamist.
Võimalik sihtdemograafia
Keskendumine sellistele rakendustele nagu Sogou, QQ ja 360 Safety koos LetsVPN-i kasutamisega peibutisena viitab sellele, et see kampaania on suunatud peamiselt hiina keelt kõnelevatele Windowsi kasutajatele. PLAYFULGHOSTi täiustatud võimalused viitavad aga laiemale kasutuspotentsiaalile väljaspool seda konkreetset demograafilist teavet.
