PLAYFULGHOST Malware
A kiberbiztonsági szakértők egy újonnan megjelenő fenyegetést azonosítottak, a PLAYFULGHOST névre keresztelt, az információgyűjtési funkciók széles spektrumával felszerelt hátsó ajtót. Ez magában foglalja a billentyűnaplózást, a képernyő- és hangrögzítést, a távoli shell hozzáférést és a fájlátviteli vagy -végrehajtási képességeket.
Tartalomjegyzék
Csatlakozás a Gh0st RAT-hoz
A PLAYFULGHOST funkcionális hasonlóságokat mutat a Gh0st RAT- tal, egy jól ismert távoli adminisztrációs eszközzel, amely a forráskód 2008-as kiszivárgása után vált széles körben elérhetővé. Ez arra utal, hogy a PLAYFULGHOST mögött fenyegető szereplők a régebbi eszköz alapjaira építhettek, miközben fejlesztéseket vezettek be a bővítés érdekében. képességeit.
Kezdeti fertőzés vektorok
A PLAYFULGHOST mögött fenyegető szereplők többféle technikát alkalmaznak a célrendszerekhez való kezdeti hozzáférés érdekében. Ide tartoznak az adathalász kampányok, amelyek a magatartási kódexhez kapcsolódó témákat és a SEO-mérgezési taktikákat hasznosítják a legitim VPN-alkalmazások, például a LetsVPN trójai verzióinak terjesztésére.
Az adathalász támadások során az áldozatokat megtévesztő „.jpg” kiterjesztéssel becsapják egy sérült RAR-archívum megnyitására, amely képfájlnak álcázza magát. Kibontáskor és végrehajtáskor az archívum eldob egy káros Windows futtatható fájlt, amely azután visszakeresi és elindítja a PLAYFULGHOST programot egy távoli kiszolgálóról.
A SEO-mérgezést viszont arra használják, hogy a gyanútlan felhasználókat rávegyék egy kompromittált LetsVPN telepítő letöltésére. Végrehajtáskor ez a telepítő egy közvetítő hasznos terhelést telepít, amely lekéri és aktiválja a hátsó ajtó alapvető összetevőit.
Fejlett kijátszási és végrehajtási taktika
A PLAYFULGHOST különféle lopakodó technikákra támaszkodik, hogy megmeneküljön az észlelés elől, és megvehesse a lábát a kompromittált rendszereken. Ezek közé tartozik a DLL keresési sorrendjének eltérítése és a DLL oldalbetöltése, hogy egy kompromittált DLL-t vezessenek be, amely azután visszafejti és beilleszti a hátsó ajtót a memóriába.
Egy bonyolultabb végrehajtási módszerben a kutatók egy Windows parancsikonfájl ('QQLaunch.lnk') használatát figyelték meg, amely két további fájlt ('h' és 't') kombinálva egy rosszindulatú DLL-t generál. Ez a DLL a 'curl.exe' átnevezett verzióján keresztül töltődik be, biztosítva a hátsó ajtó rejtett telepítését.
Kitartás és adatgyűjtés
A telepítés után a PLAYFULGHOST több technikával biztosítja a perzisztenciát a fertőzött rendszeren. Ezek közé tartozik a Windows rendszerleíró adatbázisának módosítása (Futtatási kulcs), ütemezett feladatok létrehozása, bejegyzések hozzáadása a Windows Indítómappához, valamint a Windows szolgáltatásként való regisztráció.
A hátsó ajtó képességei lehetővé teszik az érzékeny információk széles skálájának összegyűjtését, beleértve a billentyűleütéseket, képernyőképeket, hangfelvételeket, vágólapadatokat, a telepített biztonsági szoftver részleteit, a rendszer metaadatait és a QQ-fiók hitelesítő adatait. Ezenkívül parancsokat hajthat végre a felhasználói interakciók megzavarására a billentyűzet és az egér bevitelének blokkolásával, az eseménynaplók manipulálásával és a vágólap tartalmának törlésével.
A PLAYFULGHOST fájlkezelési képességekkel is rendelkezik, lehetővé téve a böngésző gyorsítótárának és profiljának törlését az olyan alkalmazásokból, mint a Sogou, QQ, 360 Safety, Firefox és Google Chrome. Tovább tudja eltávolítani az üzenetküldő platformokhoz, például a Skype, a Telegram és a QQ kapcsolódó profilokat és helyi tárhelyet.
További eszközök telepítése
A PLAYFULGHOST mellett megfigyelték, hogy a fenyegetés szereplői kiegészítő eszközöket alkalmaznak a fertőzött rendszerek feletti ellenőrzésük megerősítésére. Ezek közé tartozik a Mimikatz , egy jól ismert hitelesítő adat-dömping eszköz, és egy rootkit, amely bizonyos rendszerleíró bejegyzések, fájlok és folyamatok elrejtésére szolgál. Ezenkívül egy nyílt forráskódú, Terminator nevű segédprogramot vezettek be a biztonsági mechanizmusok letiltására a Bring Your Own Vulnerable Driver (BYOVD) technikával.
Legalább egy esetben a PLAYFULGHOST be van ágyazva a BOOSTWAVE-ba, egy shellkód-alapú, memórián belüli dropperbe, amely megkönnyíti a hozzáfűzött hordozható végrehajtható (PE) hasznos terhelések telepítését.
Lehetséges célzott demográfia
Az olyan alkalmazásokra való összpontosítás, mint a Sogou, QQ és 360 Safety, valamint a LetsVPN csalogatóként való használata azt sugallja, hogy ez a kampány elsősorban a kínaiul beszélő Windows-felhasználókat célozza meg. A PLAYFULGHOST fejlett képességei azonban szélesebb körű kiaknázási lehetőséget jeleznek ezen a specifikus demográfiai csoporton túl.
