GHOSTFORM RAT

GHOSTFORM یک تروجان دسترسی از راه دور (RAT) مبتنی بر .NET است که برای ترکیب چندین قابلیت مخرب در یک فایل اجرایی واحد طراحی شده است. این بدافزار اسکریپت‌های PowerShell را مستقیماً در حافظه اجرا می‌کند و احتمال شناسایی توسط ابزارهای امنیتی سنتی را کاهش می‌دهد. برای فرار بیشتر از مکانیسم‌های امنیتی، از تکنیک‌هایی مانند فرم‌های نامرئی ویندوز و تایمرهای اجرای تأخیری استفاده می‌کند. به دلیل رفتار مخفیانه و قابلیت‌های گسترده آن، هرگونه شناسایی GHOSTFORM باید باعث حذف فوری و رویه‌های واکنش به حادثه شود.

زنجیره حمله اول: استقرار چند مرحله‌ای بدافزار

اولین زنجیره حمله با تحویل یک آرشیو RAR محافظت‌شده با رمز عبور که حاوی یک برنامه جعلی شبیه به WinRAR است، آغاز می‌شود. هنگامی که قربانی آرشیو را باز می‌کند، یک دراپر به نام SPLITDROP اجرا می‌شود. این دراپر دو مؤلفه بدافزار اضافی را نصب می‌کند: TWINTASK و TWINTALK.

SPLITDROP در ابتدا برای استخراج یک آرشیو مخفی، از قربانی رمز عبور درخواست می‌کند. اگر آرشیو از قبل روی سیستم موجود باشد، اجرا متوقف می‌شود. در غیر این صورت، دراپر یک payload جاسازی‌شده را در پس‌زمینه رمزگشایی می‌کند و در عین حال یک پیام خطای فریبنده به کاربر نمایش می‌دهد. محتوای رمزگشایی‌شده در دایرکتوری 'C:\ProgramData\PolGuid' ذخیره می‌شود و پس از آن یک فایل اجرایی قانونی به نام VLC.exe برای پیشبرد حمله اجرا می‌شود.

پس از اجرا، VLC.exe یک کتابخانه پیوند پویای مخرب به نام TWINTASK را از طریق بارگذاری جانبی DLL بارگذاری می‌کند. این مؤلفه منتظر دستورالعمل‌های مهاجم می‌ماند و آنها را با استفاده از PowerShell اجرا می‌کند. چندین دستور به طور خاص برای ایجاد پایداری در سیستم و آغاز مرحله بعدی نفوذ استفاده می‌شوند. به عنوان بخشی از این فرآیند، یک اسکریپت WingetUI.exe را اجرا می‌کند و ورودی‌های رجیستری ایجاد می‌کند که تضمین می‌کند هر دو VLC.exe و WingetUI.exe هر زمان که سیستم مجدداً راه‌اندازی می‌شود، به طور خودکار اجرا شوند.

TWINTALK و TWINTASK: اجرای هماهنگ دستورات

وقتی WingetUI.exe اجرا می‌شود، ماژول مخرب دیگری به نام TWINTALK را بارگذاری می‌کند. این مؤلفه به سرور فرمان و کنترل مهاجم متصل شده و دستورالعمل‌ها را بازیابی می‌کند. TWINTALK به همراه TWINTASK برای اجرای دستورات روی دستگاه آسیب‌دیده همکاری می‌کنند.

TWINTALK از سه دسته فرمان اصلی پشتیبانی می‌کند:

• اجرای دستور روی دستگاه آلوده
• دانلود فایل از زیرساخت مهاجم
• آپلود فایل از سیستم آسیب‌دیده به مهاجم

از طریق این قابلیت‌ها، مهاجمان کنترل گسترده‌ای بر محیط آلوده به دست می‌آورند.

زنجیره حمله دوم: اجرای مستقیم GHOSTFORM

زنجیره حمله دوم از خود GHOSTFORM برای انجام تمام عملکردهایی که توسط چندین مؤلفه در زنجیره اول انجام می‌شود، استفاده می‌کند. این نوع حمله به جای استقرار چندین فایل یا تکیه بر بارگذاری جانبی DLL، دستورات PowerShell را مستقیماً در حافظه اجرا می‌کند.

برای اینکه این بدافزار شناسایی نشود، یک فرم ویندوز نامرئی ایجاد می‌کند که قبل از اجرای payload، اجرا را به تأخیر می‌اندازد. علاوه بر این، این کمپین از Google Forms به عنوان بخشی از یک فریب مهندسی اجتماعی برای تشویق قربانیان به شروع فعالیت مخرب استفاده می‌کند.

تکنیک‌های فرار و پافشاری

GHOSTFORM شامل چندین مکانیسم است که برای کاهش شناسایی و حفظ دسترسی طولانی مدت به سیستم‌های آسیب‌دیده طراحی شده‌اند. این بدافزار عمداً فعالیت خود را با تولید یک فرم ویندوزی تقریباً نامرئی که یک تایمر را با تأخیر تصادفی تعیین‌شده قبل از ادامه اجرا اجرا می‌کند، به تأخیر می‌اندازد.

همچنین یک mutex ایجاد می‌کند تا اطمینان حاصل شود که فقط یک نمونه از بدافزار روی سیستم اجرا می‌شود و یک شناسه ربات منحصر به فرد برای ردیابی دستگاه‌های آلوده تولید می‌کند. تروجان‌های دسترسی از راه دور از این نوع معمولاً برای استقرار بارهای اضافی، سرقت داده‌ها و فایل‌های حساس یا انجام سایر عملیات مخرب در محیط قربانی استفاده می‌شوند.

قابلیت‌های کلیدی که معمولاً با این کمپین مرتبط هستند عبارتند از:

• استقرار بدافزارهای اضافی
• سرقت اطلاعات و فایل‌ها از دستگاه‌های آلوده
• اجرای دستورات از راه دور از طریق PowerShell
• ماندگاری طولانی مدت در سیستم‌های آسیب‌دیده

مهندسی اجتماعی کلیک‌فیکس: بردار آلودگی متمرکز بر انسان

این کمپین تنها به ارائه بدافزار متکی نیست. همچنین از یک تکنیک مهندسی اجتماعی به نام ClickFix برای نفوذ به سیستم‌ها استفاده می‌کند. مهاجمان صفحات وب جعلی متقاعدکننده‌ای ایجاد می‌کنند که برای ترغیب کاربران به اجرای دستورات مخرب طراحی شده‌اند.

به عنوان مثال می‌توان به دعوت‌نامه‌های جعلی جلسات Cisco Webex یا فرم‌های وب جعلی که به نظر قانونی می‌رسند، اشاره کرد. به قربانیان دستور داده می‌شود دستوراتی را اجرا کنند که به طور خودکار بدافزار را دانلود و اجرا می‌کنند و ناآگاهانه باعث شروع نفوذ می‌شوند.

ترکیب بدافزار و فریب

این کمپین، رویکردی هماهنگ را نشان می‌دهد که استقرار بدافزار فنی را با دستکاری روانی ترکیب می‌کند. مهاجمان فایل‌های مخرب را در قالب برنامه‌های بی‌ضرری شبیه به ابزارهای WinRAR توزیع می‌کنند. وقتی این فایل‌ها باز می‌شوند، اجزای بدافزار پنهان را به سیستم عامل تزریق می‌کنند.

پس از نصب، یکی از اجزا به صورت بی‌صدا در پس‌زمینه اجرا می‌شود و به صورت دوره‌ای سرور مهاجم را برای دستورالعمل‌های رمزگذاری شده بررسی کرده و آنها را از طریق PowerShell اجرا می‌کند. به موازات آن، حملات به سبک ClickFix به نظرسنجی‌های جعلی، دعوت‌نامه‌های فریبنده برای جلسات یا فرم‌های آنلاین جعلی متکی هستند تا کاربران را متقاعد کنند دستوراتی را اجرا کنند که باعث دانلود بدافزار می‌شود.

با ترکیب ابزارهای پیشرفته بدافزار مانند TWINTASK، TWINTALK و GHOSTFORM با تکنیک‌های مهندسی اجتماعیِ به‌دقت طراحی‌شده، عاملان تهدید به‌طور قابل‌توجهی میزان موفقیت نفوذ به سیستم را افزایش داده و کنترل از راه دور مداومی را بر روی دستگاه‌های آلوده حفظ می‌کنند.