GHOSTFORM RAT
GHOSTFORM on .NET-pohjainen etäkäyttötroijalainen (RAT), joka on suunniteltu yhdistämään useita haitallisia ominaisuuksia yhdeksi suoritettavaksi binääritiedostoksi. Haittaohjelma suorittaa PowerShell-skriptejä suoraan muistissa, mikä vähentää todennäköisyyttä, että perinteiset tietoturvatyökalut havaitsevat sen. Tietoturvamekanismien kiertämiseksi se käyttää tekniikoita, kuten näkymättömiä Windows-lomakkeita ja viivästettyjä suoritusajastimia. Sen huomaamattoman toiminnan ja laajojen ominaisuuksien vuoksi GHOSTFORMin havaitsemisen pitäisi käynnistää välittömät poisto- ja reagointitoimenpiteet.
Sisällysluettelo
Hyökkäysketju yksi: Monivaiheinen haittaohjelmien käyttöönotto
Ensimmäinen hyökkäysketju alkaa salasanalla suojatun RAR-arkiston toimittamisella, joka sisältää WinRARia muistuttavan väärennetyn sovelluksen. Kun uhri avaa arkiston, SPLITDROP-niminen dropper suoritetaan. Tämä dropper asentaa kaksi lisähaittaohjelmakomponenttia: TWINTASKin ja TWINTALKin.
SPLITDROP pyytää aluksi uhrilta salasanaa piilotetun arkiston purkamiseksi. Jos arkisto on jo järjestelmässä, suoritus pysähtyy. Muussa tapauksessa pudotin purkaa upotetun hyötykuorman taustalla ja näyttää käyttäjälle harhaanjohtavan virheilmoituksen. Purettu sisältö tallennetaan hakemistoon C:\ProgramData\PolGuid, minkä jälkeen käynnistetään laillinen suoritettava tiedosto nimeltä VLC.exe hyökkäyksen jatkamiseksi.
Suoritettuaan VLC.exe lataa haitallisen dynaamisen linkkikirjaston nimeltä TWINTASK DLL-sivulatauksen kautta. Tämä komponentti odottaa hyökkääjän ohjeita ja suorittaa ne PowerShellin avulla. Useita komentoja käytetään erityisesti pysyvyyden luomiseen järjestelmässä ja tietomurron seuraavan vaiheen aloittamiseen. Osana tätä prosessia komentosarja käynnistää WingetUI.exe-tiedoston ja luo rekisterimerkintöjä varmistaakseen, että sekä VLC.exe että WingetUI.exe suoritetaan automaattisesti aina, kun järjestelmä käynnistetään uudelleen.
TWINTALK ja TWINTASK: Koordinoitu komentojen suorittaminen
Kun WingetUI.exe suoritetaan, se lataa toisen haitallisen moduulin nimeltä TWINTALK. Tämä komponentti muodostaa yhteyden hyökkääjän komento- ja ohjauspalvelimeen ja hakee ohjeet. TWINTALK toimii yhdessä TWINTASKin kanssa suorittaakseen komentoja vaarantuneella koneella.
TWINTALK tukee kolmea pääkomentokategoriaa:
- Komennon suorittaminen tartunnan saaneella laitteella
- Tiedoston lataus hyökkääjän infrastruktuurista
- Tiedoston lataaminen vaarantuneesta järjestelmästä hyökkääjälle
Näiden ominaisuuksien avulla hyökkääjät saavat laajan hallinnan tartunnan saaneesta ympäristöstä.
Hyökkäysketju kaksi: Suora GHOSTFORM-suoritus
Toinen hyökkäysketju käyttää itse GHOSTFORMia kaikkien ensimmäisen ketjun useiden komponenttien käsittelemien toimintojen suorittamiseen. Useiden tiedostojen käyttöönoton tai DLL-sivulatauksen sijaan tämä variantti suorittaa PowerShell-komentoja suoraan muistissa.
Pysyäkseen havaitsemattomana haittaohjelma luo näkymättömän Windows-lomakkeen, joka viivästyttää suoritusta ennen hyötykuorman suorittamista. Lisäksi kampanja käyttää Google Formsia osana sosiaalisen manipuloinnin houkutusta kannustaakseen uhreja aloittamaan haitallisen toiminnan.
Väistö- ja pysyvyystekniikat
GHOSTFORM sisältää useita mekanismeja, jotka on suunniteltu vähentämään havaitsemista ja ylläpitämään pitkäaikaista pääsyä vaarantuneisiin järjestelmiin. Haittaohjelma viivästyttää toimintaansa tarkoituksella luomalla lähes näkymättömän Windows-lomakkeen, joka suorittaa ajastimen satunnaisesti määritetyllä viiveellä ennen suorituksen jatkamista.
Se luo myös mutexin varmistaakseen, että vain yksi haittaohjelman esiintymä toimii järjestelmässä, ja luo yksilöllisen bottitunnisteen tartunnan saaneiden koneiden seuraamiseksi. Tämän tyyppisiä etäkäyttötroijalaisia käytetään yleisesti lisähyötykuormien lähettämiseen, arkaluonteisten tietojen ja tiedostojen varastamiseen tai muiden haitallisten toimintojen suorittamiseen uhriympäristössä.
Kampanjaan yleisesti liitettyjä keskeisiä ominaisuuksia ovat:
- Lisähaittaohjelmien hyötykuormien käyttöönotto
- Tietojen ja tiedostojen varastaminen tartunnan saaneista laitteista
- Etäkomennon suorittaminen PowerShellin kautta
- Pitkäaikainen pysyvyys vaarantuneissa järjestelmissä
ClickFix-sosiaalinen manipulointi: ihmiskeskeinen tartuntavektori
Kampanja ei perustu pelkästään haittaohjelmien toimittamiseen. Se sisältää myös sosiaalisen manipuloinnin tekniikkaa nimeltä ClickFix järjestelmien vaarantamiseksi. Hyökkääjät luovat vakuuttavia väärennettyjä verkkosivuja, joiden tarkoituksena on manipuloida käyttäjiä suorittamaan haitallisia komentoja.
Esimerkkejä ovat väärennetyt Cisco Webex -kokouskutsut tai vilpilliset verkkolomakkeet, jotka näyttävät laillisilta. Uhreja ohjeistetaan suorittamaan komentoja, jotka lataavat ja suorittavat haittaohjelmia automaattisesti, tietämättään käynnistäen tietomurron.
Haittaohjelmien ja petosten yhdistäminen
Tämä kampanja osoittaa koordinoitua lähestymistapaa, joka yhdistää teknisen haittaohjelmien käyttöönoton psykologiseen manipulointiin. Hyökkääjät levittävät haitallisia tiedostoja, jotka on naamioitu vaarattomiksi ohjelmiksi, jotka muistuttavat WinRAR-apuohjelmia. Avattaessa tiedostot lisäävät piilotettuja haittaohjelmien komponentteja käyttöjärjestelmään.
Asennuksen jälkeen yksi komponenteista toimii hiljaa taustalla ja tarkistaa säännöllisesti hyökkääjän palvelimelta salattuja ohjeita ja suorittaa ne PowerShellin kautta. Samanaikaisesti ClickFix-tyyppiset hyökkäykset perustuvat väärennettyihin kyselyihin, harhaanjohtaviin kokouskutsuihin tai vilpillisiin verkkolomakkeisiin suostutellakseen käyttäjiä suorittamaan haittaohjelmien latauksia käynnistäviä komentoja.
Yhdistämällä edistyneitä haittaohjelmatyökaluja, kuten TWINTASK, TWINTALK ja GHOSTFORM, huolellisesti suunniteltuihin sosiaalisen manipuloinnin tekniikoihin, uhkatoimijat parantavat merkittävästi järjestelmän murtautumisen onnistumisprosenttia ja ylläpitävät jatkuvaa etähallintaa tartunnan saaneista laitteista.
