GHOSTFORM RAT
A GHOSTFORM egy .NET-alapú távoli hozzáférésű trójai (RAT), amelyet arra terveztek, hogy több rosszindulatú képességet egyetlen futtatható bináris fájlban egyesítsen. A rosszindulatú program PowerShell szkripteket hajt végre közvetlenül a memóriában, csökkentve ezzel a hagyományos biztonsági eszközök általi észlelés valószínűségét. A biztonsági mechanizmusok további megkerülése érdekében olyan technikákat használ, mint a láthatatlan Windows-űrlapok és a késleltetett végrehajtási időzítők. Lopakodó viselkedése és kiterjedt képességei miatt a GHOSTFORM bármilyen észlelése azonnali eltávolítási és incidens-kezelési eljárásokat kell, hogy indítson el.
Tartalomjegyzék
Első támadási lánc: Többlépcsős kártevőtelepítés
Az első támadási lánc egy jelszóval védett RAR archívum kézbesítésével kezdődik, amely egy hamis, a WinRAR-ra hasonlító alkalmazást tartalmaz. Amikor az áldozat megnyitja az archívumot, egy SPLITDROP nevű dropper fut le. Ez a dropper két további rosszindulatú komponenst telepít: a TWINTASK-ot és a TWINTALK-ot.
A SPLITDROP kezdetben jelszót kér az áldozattól egy rejtett archívum kibontásához. Ha az archívum már megtalálható a rendszeren, a végrehajtás leáll. Ellenkező esetben a dropper a háttérben visszafejti a beágyazott hasznos adatot, miközben egy megtévesztő hibaüzenetet jelenít meg a felhasználónak. A visszafejtett tartalom a „C:\ProgramData\PolGuid” könyvtárban tárolódik, majd egy VLC.exe nevű legitim futtatható fájl indul el a támadás elősegítése érdekében.
A VLC.exe futtatása után a DLL oldalratöltésén keresztül betölt egy TWINTASK nevű rosszindulatú dinamikus csatolású függvénytárat. Ez a komponens a támadó utasításaira vár, és azokat a PowerShell segítségével végrehajtja. Számos parancsot használnak kifejezetten a rendszeren belüli perzisztencia létrehozásához és a kompromittálás következő szakaszának megkezdéséhez. A folyamat részeként egy szkript elindítja a WingetUI.exe fájlt, és beállításjegyzékbeli bejegyzéseket hoz létre, biztosítva, hogy mind a VLC.exe, mind a WingetUI.exe automatikusan fusson a rendszer újraindításakor.
TWINTALK és TWINTASK: Koordinált parancsvégrehajtás
A WingetUI.exe futtatásakor egy másik rosszindulatú modult, a TWINTALK-ot tölti be. Ez a komponens csatlakozik a támadó parancs- és vezérlőszerveréhez, és utasításokat kér le. A TWINTALK a TWINTASK-kal együttműködve parancsokat hajt végre a megtámadott gépen.
A TWINTALK három fő parancskategóriát támogat:
- Parancsok végrehajtása a fertőzött eszközön
- Fájl letöltése a támadó infrastruktúrájából
- Fájlfeltöltés a feltört rendszerről a támadónak
Ezen képességek révén a támadók széleskörű irányítást szerezhetnek a fertőzött környezet felett.
Második támadási lánc: Közvetlen SZELLEMFORMA kivégzés
A második támadási lánc magát a GHOSTFORM-ot használja az első lánc több komponense által kezelt összes funkció végrehajtásához. Több fájl telepítése vagy DLL oldalratöltés helyett ez a változat közvetlenül a memóriában hajtja végre a PowerShell parancsokat.
Az észrevétlenség megőrzése érdekében a rosszindulatú program egy láthatatlan Windows űrlapot hoz létre, amely késlelteti a végrehajtást a hasznos adat futtatása előtt. Ezenkívül a kampány a Google Űrlapokat használja a társadalmi manipuláció csalijának részeként, hogy ösztönözze az áldozatokat a rosszindulatú tevékenység megkezdésére.
Kikerülés és kitartás technikái
A GHOSTFORM több mechanizmust is magában foglal, amelyek célja az észlelés csökkentése és a feltört rendszerekhez való hosszú távú hozzáférés fenntartása. A rosszindulatú program szándékosan késlelteti tevékenységét egy szinte láthatatlan Windows űrlap létrehozásával, amely egy véletlenszerűen meghatározott késleltetésű időzítőt futtat, mielőtt folytatná a végrehajtást.
Emellett létrehoz egy mutexet is, amely biztosítja, hogy a rosszindulatú programnak csak egyetlen példánya fusson a rendszeren, és egyedi botazonosítót generál a fertőzött gépek követéséhez. Az ilyen típusú távoli hozzáférésű trójaiakat gyakran használják további hasznos adatok telepítésére, érzékeny adatok és fájlok ellopására, vagy más rosszindulatú műveletek végrehajtására az áldozati környezetben.
A kampányhoz általában kapcsolódó főbb képességek a következők:
- További rosszindulatú programok telepítése
- Információk és fájlok ellopása fertőzött eszközökről
- Távoli parancsvégrehajtás PowerShell-en keresztül
- Hosszú távú perzisztencia a sérült rendszereken belül
ClickFix Social Engineering: Emberközpontú fertőzési vektor
A kampány nem kizárólag rosszindulatú programok szállítására épül. Egy ClickFix néven ismert társadalmi manipulációs technikát is alkalmaz a rendszerek feltörésére. A támadók meggyőző hamis weboldalakat hoznak létre, amelyek célja, hogy manipulálják a felhasználókat rosszindulatú parancsok végrehajtására.
Ilyenek például a hamis Cisco Webex találkozómeghívók vagy a látszólag legitim webes űrlapok. Az áldozatokat arra utasítják, hogy futtassanak olyan parancsokat, amelyek automatikusan letöltenek és végrehajtanak rosszindulatú programokat, tudtukon kívül elindítva a kompromittálódást.
Kártevők és megtévesztés keverése
Ez a kampány egy összehangolt megközelítést mutat be, amely a technikai rosszindulatú programok telepítését pszichológiai manipulációval ötvözi. A támadók ártalmatlan, WinRAR segédprogramokra emlékeztető programoknak álcázott rosszindulatú fájlokat terjesztenek. Megnyitáskor a fájlok rejtett rosszindulatú összetevőket juttatnak az operációs rendszerbe.
A telepítés után az egyik komponens csendben fut a háttérben, rendszeresen ellenőrzi a támadó szerverét titkosított utasítások után, és azokat a PowerShell segítségével végrehajtja. Ezzel párhuzamosan a ClickFix stílusú támadások hamis felmérésekre, megtévesztő találkozómeghívókra vagy csalárd online űrlapokra támaszkodnak, hogy rávegyék a felhasználókat a rosszindulatú programok letöltését kiváltó parancsok végrehajtására.
A fejlett kártevőeszközök, mint például a TWINTASK, a TWINTALK és a GHOSTFORM, gondosan kidolgozott társadalmi manipulációs technikákkal való kombinálásával a fenyegető szereplők jelentősen növelik a rendszer feltörésének sikerességi arányát, és tartós távoli irányítást tartanak fenn a fertőzött eszközök felett.
