GHOSTFORM RAT
GHOSTFORM je trojanski konj za daljinski pristup (RAT) temeljen na .NET-u, dizajniran za kombiniranje nekoliko zlonamjernih mogućnosti u jednu izvršnu binarnu datoteku. Zlonamjerni softver izvršava PowerShell skripte izravno u memoriji, smanjujući vjerojatnost otkrivanja tradicionalnim sigurnosnim alatima. Kako bi dodatno izbjegao sigurnosne mehanizme, koristi tehnike poput nevidljivih Windows obrazaca i mjerača vremena odgođenog izvršavanja. Zbog svog prikrivenog ponašanja i opsežnih mogućnosti, svako otkrivanje GHOSTFORMA trebalo bi pokrenuti trenutačne postupke uklanjanja i odgovora na incident.
Sadržaj
Prvi lanac napada: Višefazno postavljanje zlonamjernog softvera
Prvi lanac napada započinje isporukom RAR arhive zaštićene lozinkom koja sadrži lažnu aplikaciju dizajniranu da nalikuje WinRAR-u. Kada žrtva otvori arhivu, izvršava se droper poznat kao SPLITDROP. Ovaj droper instalira dvije dodatne komponente zlonamjernog softvera: TWINTASK i TWINTALK.
SPLITDROP isprva traži lozinku od žrtve kako bi izdvojio skrivenu arhivu. Ako je arhiva već prisutna na sustavu, izvršavanje se zaustavlja. U suprotnom, dropper dešifrira ugrađeni korisni teret u pozadini dok korisniku prikazuje varljivu poruku o pogrešci. Dešifrirani sadržaj pohranjuje se u direktorij 'C:\ProgramData\PolGuid', nakon čega se pokreće legitimna izvršna datoteka pod nazivom VLC.exe za napredovanje napada.
Nakon izvršenja, VLC.exe učitava zlonamjernu dinamičku biblioteku povezivanja pod nazivom TWINTASK putem bočnog učitavanja DLL-a. Ova komponenta čeka upute od napadača i izvršava ih pomoću PowerShella. Nekoliko naredbi se posebno koristi za uspostavljanje perzistencije unutar sustava i pokretanje sljedeće faze kompromitiranja. Kao dio ovog procesa, skripta pokreće WingetUI.exe i stvara unose u registar osiguravajući da se i VLC.exe i WingetUI.exe automatski pokreću svaki put kada se sustav ponovno pokrene.
TWINTALK i TWINTASK: Koordinirano izvršavanje naredbi
Kada se WingetUI.exe izvrši, učitava se još jedan zlonamjerni modul poznat kao TWINTALK. Ova komponenta se povezuje s napadačevim poslužiteljem za upravljanje i dohvaća upute. TWINTALK surađuje s TWINTASK-om kako bi izvršavao naredbe na kompromitiranom računalu.
TWINTALK podržava tri primarne kategorije naredbi:
- Izvršavanje naredbe na zaraženom uređaju
- Preuzimanje datoteke s infrastrukture napadača
- Prijenos datoteke s kompromitiranog sustava napadaču
Kroz ove mogućnosti, napadači dobivaju opsežnu kontrolu nad zaraženim okruženjem.
Drugi lanac napada: Izravno izvršavanje GHOSTFORM-a
Drugi lanac napada koristi sam GHOSTFORM za obavljanje svih funkcija koje obavljaju višestruke komponente u prvom lancu. Umjesto implementacije nekoliko datoteka ili oslanjanja na bočno učitavanje DLL-a, ova varijanta izvršava PowerShell naredbe izravno u memoriji.
Kako bi ostao neotkriven, zlonamjerni softver stvara nevidljivi Windows obrazac koji odgađa izvršavanje prije pokretanja sadržaja. Osim toga, kampanja koristi Google obrasce kao dio mamaca socijalnog inženjeringa kako bi potaknula žrtve na pokretanje zlonamjerne aktivnosti.
Tehnike izbjegavanja i upornosti
GHOSTFORM uključuje više mehanizama osmišljenih za smanjenje otkrivanja i održavanje dugoročnog pristupa kompromitiranim sustavima. Zlonamjerni softver namjerno odgađa svoju aktivnost generiranjem gotovo nevidljivog Windows obrasca koji pokreće timer sa nasumično određenim kašnjenjem prije nastavka izvršavanja.
Također stvara mutex kako bi se osiguralo da se na sustavu pokreće samo jedna instanca zlonamjernog softvera i generira jedinstveni identifikator bota za praćenje zaraženih računala. Trojanci za udaljeni pristup ove vrste obično se koriste za postavljanje dodatnih korisnih tereta, krađu osjetljivih podataka i datoteka ili izvođenje drugih zlonamjernih operacija unutar okruženja žrtve.
Ključne mogućnosti koje se obično povezuju s kampanjom uključuju:
- Implementacija dodatnih zlonamjernih programa
- Krađa informacija i datoteka sa zaraženih uređaja
- Udaljeno izvršavanje naredbi putem PowerShella
- Dugotrajna perzistencija unutar kompromitiranih sustava
ClickFix društveni inženjering: Vektor infekcije usmjeren na ljude
Kampanja se ne oslanja isključivo na isporuku zlonamjernog softvera. Također uključuje tehniku socijalnog inženjeringa poznatu kao ClickFix za kompromitiranje sustava. Napadači stvaraju uvjerljive lažne web stranice osmišljene kako bi manipulirale korisnicima da izvršavaju zlonamjerne naredbe.
Primjeri uključuju lažne pozivnice za sastanke putem Cisco Webexa ili lažne web obrasce koji izgledaju legitimno. Žrtve dobivaju upute za pokretanje naredbi koje automatski preuzimaju i izvršavaju zlonamjerni softver, nesvjesno započinjući kompromitaciju.
Miješanje zlonamjernog softvera i obmane
Ova kampanja demonstrira koordinirani pristup koji kombinira tehničku implementaciju zlonamjernog softvera s psihološkom manipulacijom. Napadači distribuiraju zlonamjerne datoteke prikrivene kao bezopasne programe koji nalikuju WinRAR uslužnim programima. Kada se otvore, datoteke ubrizgavaju skrivene komponente zlonamjernog softvera u operativni sustav.
Nakon instalacije, jedna od komponenti tiho radi u pozadini, periodički provjeravajući napadačev poslužitelj za šifrirane upute i izvršavajući ih putem PowerShella. Paralelno s tim, napadi u stilu ClickFixa oslanjaju se na lažne ankete, obmanjujuće pozivnice na sastanke ili lažne online obrasce kako bi nagovorili korisnike da izvrše naredbe koje pokreću preuzimanja zlonamjernog softvera.
Kombiniranjem naprednih alata za zaštitu od zlonamjernog softvera poput TWINTASK-a, TWINTALK-a i GHOSTFORMA s pažljivo osmišljenim tehnikama socijalnog inženjeringa, akteri prijetnji značajno povećavaju stopu uspješnosti kompromitiranja sustava i održavaju trajnu daljinsku kontrolu nad zaraženim uređajima.
