GHOSTFORM RAT

घोस्टफॉर्म एक .NET आधारित रिमोट एक्सेस ट्रोजन (RAT) है जिसे कई दुर्भावनापूर्ण क्षमताओं को एक ही निष्पादन योग्य बाइनरी में संयोजित करने के लिए डिज़ाइन किया गया है। यह मैलवेयर पॉवरशेल स्क्रिप्ट को सीधे मेमोरी में निष्पादित करता है, जिससे पारंपरिक सुरक्षा उपकरणों द्वारा इसका पता लगने की संभावना कम हो जाती है। सुरक्षा तंत्रों से बचने के लिए, यह अदृश्य विंडोज फॉर्म और विलंबित निष्पादन टाइमर जैसी तकनीकों का उपयोग करता है। इसके गुप्त व्यवहार और व्यापक क्षमताओं के कारण, घोस्टफॉर्म का पता चलने पर तत्काल निष्कासन और घटना प्रतिक्रिया प्रक्रियाओं को शुरू किया जाना चाहिए।

आक्रमण श्रृंखला एक: बहु-चरणीय मैलवेयर परिनियोजन

हमले की पहली कड़ी पासवर्ड से सुरक्षित RAR आर्काइव फ़ाइल भेजने से शुरू होती है, जिसमें WinRAR जैसा दिखने वाला एक नकली एप्लिकेशन होता है। जब पीड़ित व्यक्ति आर्काइव खोलता है, तो SPLITDROP नामक एक ड्रॉपर सक्रिय हो जाता है। यह ड्रॉपर दो अतिरिक्त मैलवेयर घटक स्थापित करता है: TWINTASK और TWINTALK।

SPLITDROP शुरू में पीड़ित से एक पासवर्ड मांगता है ताकि एक छिपी हुई फ़ाइल निकाली जा सके। यदि फ़ाइल पहले से ही सिस्टम पर मौजूद है, तो निष्पादन रुक जाता है। अन्यथा, ड्रॉपर उपयोगकर्ता को भ्रामक त्रुटि संदेश दिखाते हुए पृष्ठभूमि में एक एम्बेडेड पेलोड को डिक्रिप्ट करता है। डिक्रिप्ट की गई सामग्री 'C:\ProgramData\PolGuid' निर्देशिका में संग्रहीत की जाती है, जिसके बाद हमले को आगे बढ़ाने के लिए VLC.exe नामक एक वैध निष्पादन योग्य फ़ाइल लॉन्च की जाती है।

एक बार चलने के बाद, VLC.exe DLL साइडलोडिंग के ज़रिए TWINTASK नामक एक दुर्भावनापूर्ण डायनेमिक लिंक लाइब्रेरी लोड करता है। यह घटक हमलावर से निर्देशों की प्रतीक्षा करता है और पॉवरशेल का उपयोग करके उन्हें निष्पादित करता है। सिस्टम में निरंतरता स्थापित करने और हमले के अगले चरण को शुरू करने के लिए विशेष रूप से कई कमांड का उपयोग किया जाता है। इस प्रक्रिया के हिस्से के रूप में, एक स्क्रिप्ट WingetUI.exe को लॉन्च करती है और रजिस्ट्री प्रविष्टियाँ बनाती है जिससे यह सुनिश्चित होता है कि सिस्टम के पुनः आरंभ होने पर VLC.exe और WingetUI.exe दोनों स्वचालित रूप से चलें।

TWINTALK और TWINTASK: समन्वित कमांड निष्पादन

जब WingetUI.exe चलता है, तो यह TWINTALK नामक एक अन्य दुर्भावनापूर्ण मॉड्यूल लोड करता है। यह घटक हमलावर के कमांड-एंड-कंट्रोल सर्वर से जुड़ता है और निर्देश प्राप्त करता है। TWINTALK, TWINTASK के साथ मिलकर प्रभावित मशीन पर कमांड निष्पादित करता है।

TWINTALK तीन मुख्य कमांड श्रेणियों का समर्थन करता है:

• संक्रमित डिवाइस पर कमांड निष्पादन
• हमलावर के बुनियादी ढांचे से फ़ाइल डाउनलोड करना
• समझौता किए गए सिस्टम से हमलावर को फ़ाइल अपलोड करना

इन क्षमताओं के माध्यम से, हमलावर संक्रमित वातावरण पर व्यापक नियंत्रण प्राप्त कर लेते हैं।

आक्रमण श्रृंखला दो: प्रत्यक्ष घोस्टफॉर्म निष्पादन

दूसरे हमले की श्रृंखला में, पहले चरण के कई घटकों द्वारा संभाले जाने वाले सभी कार्यों को करने के लिए स्वयं GHOSTFORM का उपयोग किया जाता है। कई फाइलों को तैनात करने या DLL साइडलोडिंग पर निर्भर रहने के बजाय, यह संस्करण सीधे मेमोरी में PowerShell कमांड निष्पादित करता है।

पकड़े जाने से बचने के लिए, मैलवेयर एक अदृश्य विंडोज़ फ़ॉर्म बनाता है जो पेलोड चलने से पहले निष्पादन में देरी करता है। इसके अलावा, यह अभियान पीड़ितों को दुर्भावनापूर्ण गतिविधि शुरू करने के लिए प्रोत्साहित करने हेतु सोशल इंजीनियरिंग के प्रलोभन के रूप में गूगल फ़ॉर्म का उपयोग करता है।

बचाव और दृढ़ता तकनीकें

घोस्टफॉर्म कई ऐसे तंत्रों का उपयोग करता है जो पहचान को कम करने और प्रभावित प्रणालियों तक लंबे समय तक पहुंच बनाए रखने के लिए डिज़ाइन किए गए हैं। यह मैलवेयर जानबूझकर एक लगभग अदृश्य विंडोज फॉर्म बनाकर अपनी गतिविधि में देरी करता है, जो निष्पादन जारी रखने से पहले एक यादृच्छिक रूप से निर्धारित विलंब के साथ टाइमर चलाता है।

यह एक म्यूटेक्स भी बनाता है ताकि सिस्टम पर मैलवेयर का केवल एक ही इंस्टेंस चले और संक्रमित मशीनों को ट्रैक करने के लिए एक अद्वितीय बॉट आइडेंटिफायर उत्पन्न करता है। इस प्रकार के रिमोट एक्सेस ट्रोजन का उपयोग आमतौर पर अतिरिक्त पेलोड तैनात करने, संवेदनशील डेटा और फाइलों को चुराने या पीड़ित वातावरण में अन्य दुर्भावनापूर्ण कार्यों को अंजाम देने के लिए किया जाता है।

इस अभियान से जुड़ी प्रमुख क्षमताओं में आमतौर पर निम्नलिखित शामिल हैं:

• अतिरिक्त मैलवेयर पेलोड की तैनाती
• संक्रमित उपकरणों से सूचना और फाइलों की चोरी
• पॉवरशेल के माध्यम से रिमोट कमांड निष्पादन
• क्षतिग्रस्त प्रणालियों के भीतर दीर्घकालिक निरंतरता

क्लिकफिक्स सोशल इंजीनियरिंग: मानव-केंद्रित संक्रमण वाहक

यह अभियान केवल मैलवेयर पहुंचाने पर ही निर्भर नहीं है। इसमें सिस्टम को हैक करने के लिए क्लिकफिक्स नामक सोशल इंजीनियरिंग तकनीक का भी इस्तेमाल किया जाता है। हमलावर विश्वसनीय नकली वेब पेज बनाते हैं जिनका उद्देश्य उपयोगकर्ताओं को दुर्भावनापूर्ण कमांड निष्पादित करने के लिए प्रेरित करना होता है।

उदाहरणों में नकली सिस्को वेबएक्स मीटिंग आमंत्रण या वैध दिखने वाले फर्जी वेब फॉर्म शामिल हैं। पीड़ितों को ऐसे कमांड चलाने के लिए कहा जाता है जो स्वचालित रूप से मैलवेयर डाउनलोड और निष्पादित करते हैं, जिससे अनजाने में ही सिस्टम पर हमला शुरू हो जाता है।

मैलवेयर और छल का मिश्रण

यह अभियान एक समन्वित दृष्टिकोण को दर्शाता है जिसमें तकनीकी मैलवेयर तैनाती और मनोवैज्ञानिक हेरफेर का संयोजन किया गया है। हमलावर WinRAR जैसी हानिरहित प्रोग्रामों के रूप में छिपी हुई दुर्भावनापूर्ण फ़ाइलें वितरित करते हैं। खोलने पर, ये फ़ाइलें ऑपरेटिंग सिस्टम में छिपे हुए मैलवेयर घटकों को इंजेक्ट कर देती हैं।

एक बार इंस्टॉल हो जाने के बाद, इसका एक घटक चुपचाप पृष्ठभूमि में चलता रहता है, समय-समय पर हमलावर के सर्वर पर एन्क्रिप्टेड निर्देशों की जाँच करता है और उन्हें पॉवरशेल के माध्यम से निष्पादित करता है। इसके समानांतर, क्लिकफिक्स-शैली के हमले नकली सर्वेक्षणों, भ्रामक मीटिंग आमंत्रणों या धोखाधड़ी वाले ऑनलाइन फ़ॉर्मों का उपयोग करके उपयोगकर्ताओं को ऐसे कमांड निष्पादित करने के लिए प्रेरित करते हैं जो मैलवेयर डाउनलोड को ट्रिगर करते हैं।

TWINTASK, TWINTALK और GHOSTFORM जैसे उन्नत मैलवेयर टूल को सावधानीपूर्वक तैयार की गई सोशल इंजीनियरिंग तकनीकों के साथ मिलाकर, हमलावर सिस्टम में सेंध लगाने की सफलता दर को काफी हद तक बढ़ा देते हैं और संक्रमित उपकरणों पर लगातार दूरस्थ नियंत्रण बनाए रखते हैं।