Kaksoishyötykuormaa käyttävä haittaohjelmakampanja
Äskettäin paljastunut haittaohjelmakampanja herättää merkittävää huomiota kyberturvallisuusyhteisössä, koska se pystyy lataamaan kaksi erillistä uhkaa samanaikaisesti. Yhtä hämärrettyä lataajaa käytetään sekä Gh0st RAT:n että CloverPlus:n lataamiseen samaan vaarantuneeseen järjestelmään.
Tämä yhdistelmä on sekä epätavallinen että erittäin strateginen. Gh0st RAT mahdollistaa tartunnan saaneen koneen täyden etähallinnan, kun taas CloverPlus keskittyy selaintoiminnan manipulointiin, mainoskomponenttien lisäämiseen ja tulojen tuottamiseen tunkeilevien ponnahdusikkunoiden avulla. Kaksoisasennus antaa uhkatoimijoille mahdollisuuden ylläpitää jatkuvaa luvatonta pääsyä ja samalla ansaita rahaa tartunnasta reaaliajassa.
Tämä kampanja korostaa kasvavaa trendiä kohti usean hyötykuorman toimitusta, jossa hyökkääjät maksimoivat toiminnan tehokkuuden ja taloudellisen tuoton yhdestä tietomurrosta.
Sisällysluettelo
Hämärtämistaktiikat: Hyötykuorman salaaminen
Tämän kampanjan ytimessä oleva latausohjelma on suunniteltu piilotoimintaa varten. Se upottaa kaksi salattua hyötykuormaa resurssiosastaan käyttäen hämärrystekniikoita perinteisten havaitsemismekanismien kiertämiseksi.
Suoritus alkaa CloverPlus-mainosohjelmamoduulilla, joka tunnistetaan nimellä AdWare.Win32.CloverPlus ja johon liittyy wiseman.exe-niminen suoritettava tiedosto. Tämä komponentti muuttaa selaimen käynnistysasetuksia ja lisää pysyviä ponnahdusikkunamainoksia.
Tämän jälkeen lataaja arvioi suorituspolkunsa. Jos se ei toimi järjestelmän %temp%-hakemistosta, se luo kopion itsestään sinne ennen jatkamista. Seuraava vaihe sisältää Gh0st RAT -asiakasmoduulin salauksen purkamisen, joka on myös piilotettu salattuna resurssina haittaohjelman binääritiedostoon.
Kun salaus on purettu, haittaohjelma antaa hyötykuormalle satunnaisen tiedostonimen ja tallentaa sen satunnaisesti nimettyyn kansioon C:\-aseman juuressa, mikä vaikeuttaa havaitsemista ja analysointia entisestään.
Maan ulkopuolinen elämä: Luotettavat työkalut, ilkeämielinen tarkoitus
Haittaohjelma käyttää salauksen purkamiseen tarkoitettua Windows-apuohjelmaa rundll32.exe suorittaakseen sen. Tämä lähestymistapa mahdollistaa haitallisen koodin suorittamisen luotettavan järjestelmäprosessin varjolla, mikä vähentää merkittävästi tietoturvajärjestelmien käynnistymisen todennäköisyyttä.
Aktivoituaan Gh0st RAT alkaa profiloida vaarantunutta järjestelmää keräämällä yksilöllisiä tunnisteita, kuten MAC-osoitteen ja kiintolevyn sarjanumeron. Näitä tietoja käytetään uhrin rekisteröimiseen hyökkääjän komento- ja hallintainfrastruktuuriin, mikä varmistaa tartunnan saaneiden koneiden tarkan seurannan ja hallinnan.
Pysyvyysmekanismit: Pitkäaikaisen saatavuuden varmistaminen
Järjestelmän uudelleenkäynnistyksen jälkeen pääsyn ylläpitäminen on tämän kampanjan keskeinen tavoite. Gh0st RAT saavuttaa pysyvyyden useilla käyttöjärjestelmään upotetuilla tekniikoilla:
Windowsin Suorita-rekisteriavaimen muokkaaminen automaattisen suorittamisen varmistamiseksi käynnistyksen yhteydessä
Haitallisen DLL-tiedoston rekisteröinti etäkäyttöpalvelupolkuun SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip-hakemistoon
Nämä menetelmät myöntävät haittaohjelmalle JÄRJESTELMÄ-tason oikeudet aina, kun siihen liittyvä palvelu käynnistetään, mikä poistaa tarpeen käyttäjän lisätoimille ja vahvistaa pitkäaikaista hallintaa.
Havaitseminen ja puolustaminen: Kompromisseihin viittaavat indikaattorit
Tämän kampanjan vaikutukset ovat huomattavat sekä yksilöille että organisaatioille. Vaikka mainosohjelmakomponentti häiritsee selaimen toimintoja ja lisää altistumista haitalliselle mainonnalle, RAT-komponentti mahdollistaa tietojen varastamisen, näppäinpainallusten tallentamisen, suojauksen ohittamisen ja pysyvän etuoikeutetun pääsyn.
Tietoturvatiimien tulisi pysyä valppaina ja seurata seuraavia tietomurron merkkejä:
- Rundll32.exe-komennon suorittaminen lataamalla DLL-tiedostoja tai epästandardeja tiedostopäätteitä epätavallisista tai epäilyttävistä hakemistoista
- %temp%-kansiosta peräisin oleva prosessitoiminta
- Rekisterin suoritusavainten tai RemoteAccess-palvelun määritysten luvattomat muutokset
- Ping-pohjaisten viiveiden käyttö hiekkalaatikon tunnistuksen välttämiseksi
- Epänormaalit DNS-liikennemallit ja odottamattomat muutokset järjestelmän isäntätiedostossa
Ennakoiva seuranta ja nopea reagointi näihin signaaleihin ovat ratkaisevan tärkeitä tämän hienostuneen kaksoisuhkakampanjan aiheuttamien riskien lieventämiseksi.
