PLAYFULGHOST Haittaohjelma
Kyberturvallisuusasiantuntijat ovat tunnistaneet äskettäin nousevan uhan, nimeltä PLAYFULGHOST, takaoven, joka on varustettu laajalla kirjolla tiedonkeruutoimintoja. Tämä sisältää näppäinkirjauksen, näytön ja äänen kaappauksen, etäkäyttöliittymän ja tiedostojen siirto- tai suoritusominaisuudet.
Sisällysluettelo
Yhteys Gh0st RAT:iin
PLAYFULGHOSTilla on toiminnallisia yhtäläisyyksiä Gh0st RAT:n kanssa, joka on tunnettu etähallintatyökalu, joka tuli laajalti saataville sen lähdekoodin vuotamisen jälkeen vuonna 2008. Tämä viittaa siihen, että PLAYFULGHOSTin takana olevat uhkatekijät ovat saattaneet rakentaa vanhemman työkalun perustalle samalla kun he ovat ottaneet käyttöön parannuksia laajentaakseen sen kykyjä.
Alkuperäiset infektiovektorit
PLAYFULGHOSTin takana olevat uhkatekijät käyttävät useita tekniikoita päästäkseen alkuvaiheessa kohdejärjestelmiin. Näitä ovat muun muassa tietojenkalastelukampanjat, jotka hyödyntävät käytännesääntöihin liittyviä teemoja ja SEO-myrkytystaktiikkaa laillisten VPN-sovellusten, kuten LetsVPN:n, troijalaisten versioiden jakamiseen.
Tietojenkalasteluhyökkäysskenaariossa uhrit huijataan avaamaan vioittunut RAR-arkisto, joka naamioituu kuvatiedostoksi käyttämällä harhaanjohtavaa .jpg-tunnistetta. Kun arkisto puretaan ja suoritetaan, se pudottaa haitallisen Windows-suoritustiedoston, joka sitten hakee ja käynnistää PLAYFULGHOSTin etäpalvelimelta.
SEO-myrkytys puolestaan käytetään houkuttelemaan hyväuskoisia käyttäjiä lataamaan vaarantunut LetsVPN-asennusohjelma. Suorituksen yhteydessä tämä asennin ottaa käyttöön välittävän hyötykuorman, joka hakee ja aktivoi takaoven ydinkomponentit.
Kehittyneet evaasio- ja teloitustaktiikat
PLAYFULGHOST turvautuu erilaisiin salaamistekniikoihin pakenemaan havaitsemista ja vakiinnuttamaan jalansijaa vaarantuneissa järjestelmissä. Näitä ovat DLL-hakujärjestyksen kaappaus ja DLL-sivulataus vaarantuneen DLL:n käyttöönottamiseksi, joka sitten purkaa salauksen ja lisää takaoven muistiin.
Monimutkaisemmassa suoritusmenetelmässä tutkijat havaitsivat Windowsin pikakuvaketiedoston ('QQLaunch.lnk') käytön, joka yhdistää kaksi ylimääräistä tiedostoa ('h' ja 't') kelpaamattoman DLL:n luomiseksi. Tämä DLL ladataan sivulta 'curl.exe'n uudelleen nimetyn version kautta, mikä varmistaa takaoven salaisen käyttöönoton.
Pysyvyys ja tiedonkeruu
Kun PLAYFULGHOST on asennettu, se varmistaa tartunnan saaneen järjestelmän pysyvyyden useilla tekniikoilla. Näitä ovat Windowsin rekisterin muokkaaminen (Suorita-avain), ajoitettujen tehtävien luominen, merkintöjen lisääminen Windowsin käynnistyskansioon ja rekisteröityminen Windows-palveluksi.
Takaoven ominaisuudet mahdollistavat sen, että se kerää laajan valikoiman arkaluonteisia tietoja, mukaan lukien näppäinpainallukset, kuvakaappaukset, äänitallenteet, leikepöydän tiedot, asennetun suojausohjelmiston tiedot, järjestelmän metatiedot ja QQ-tilin tunnistetiedot. Lisäksi se voi suorittaa komentoja, jotka häiritsevät käyttäjien vuorovaikutusta estämällä näppäimistön ja hiiren syötteet, muokkaamalla tapahtumalokeja ja tyhjentämällä leikepöydän sisällön.
PLAYFULGHOST sisältää myös tiedostojen käsittelyominaisuuksia, joiden avulla se voi tyhjentää selaimen välimuistit ja profiilit sovelluksista, kuten Sogou, QQ, 360 Safety, Firefox ja Google Chrome. Se voi edelleen poistaa profiileja ja paikallista tallennustilaa, jotka liittyvät viestialustoihin, kuten Skype, Telegram ja QQ.
Lisätyökalujen käyttöönotto
PLAYFULGHOSTin ohella uhkatekijöiden on havaittu ottavan käyttöön lisätyökaluja vahvistaakseen hallintaansa tartunnan saaneisiin järjestelmiin. Näitä ovat Mimikatz , tunnettu tunnistetietojen poistotyökalu ja rootkit, joka on suunniteltu piilottamaan tiettyjä rekisterimerkintöjä, tiedostoja ja prosesseja. Lisäksi otetaan käyttöön avoimen lähdekoodin apuohjelma nimeltä Terminator, joka poistaa suojausmekanismit käytöstä BYOVD (Bring Your Own Vulnerable Driver) -tekniikan avulla.
Ainakin yhdessä tapauksessa PLAYFULGHOST on upotettu BOOSTWAVEen, shellcode-pohjaiseen muistiin, joka helpottaa liitettyjen Portable Executable (PE) -hyötykuormien käyttöönottoa.
Mahdollinen kohdedemografia
Keskittyminen sovelluksiin, kuten Sogou, QQ ja 360 Safety, yhdistettynä LetsVPN:n käyttöön houkuttimena, viittaa siihen, että tämä kampanja on suunnattu ensisijaisesti kiinaa puhuville Windows-käyttäjille. PLAYFULGHOSTin edistyneet ominaisuudet osoittavat kuitenkin laajemman hyödyntämispotentiaalin tämän tietyn väestörakenteen ulkopuolella.
