PLAYFULGHOST Kenkėjiška programa
Kibernetinio saugumo ekspertai nustatė naujai kylančią grėsmę, pavadintą PLAYFULGHOST – užpakalinėmis durimis, kuriose yra daug informacijos rinkimo funkcijų. Tai apima klaviatūros registravimą, ekrano ir garso įrašymą, nuotolinę prieigą prie apvalkalo ir failų perdavimo arba vykdymo galimybes.
Turinys
Ryšys su Gh0st RAT
PLAYFULGHOST turi funkcinių panašumų su Gh0st RAT , gerai žinomu nuotolinio administravimo įrankiu, kuris tapo plačiai prieinamas po to, kai 2008 m. buvo nutekintas jo šaltinio kodas. Tai rodo, kad PLAYFULGHOST grėsmės veikėjai galėjo remtis senesnio įrankio pagrindu, tuo pat metu diegdami patobulinimus, skirtus išplėsti. savo galimybes.
Pradinės infekcijos vektoriai
PLAYFULGHOST grėsmės veikėjai naudoja keletą metodų, kad gautų pradinę prieigą prie tikslinių sistemų. Tai apima sukčiavimo kampanijas, kuriose pasitelkiamos su elgesio kodeksu susijusios temos ir SEO apsinuodijimo taktika, siekiant platinti Trojanizuotas teisėtų VPN programų, pvz., „LetsVPN“, versijas.
Sukčiavimo atakos scenarijuje aukos yra apgaudinėjamos, kad atidarytų sugadintą RAR archyvą, kuris pridengiamas vaizdo failu, naudojant klaidinantį „.jpg“ plėtinį. Išskleidus ir paleidus archyvą, jis pašalina kenksmingą Windows vykdomąjį failą, kuris tada nuskaito ir paleidžia PLAYFULGHOST iš nuotolinio serverio.
Kita vertus, apsinuodijimas SEO naudojamas siekiant privilioti nieko neįtariančius vartotojus atsisiųsti pažeistą „LetsVPN“ diegimo programą. Vykdant šią diegimo programą įdiegiama tarpinė naudingoji apkrova, kuri paima ir suaktyvina pagrindinius galinių durų komponentus.
Išplėstinė vengimo ir vykdymo taktika
PLAYFULGHOST remiasi įvairiomis slaptomis technikomis, kad pabėgtų nuo aptikimo ir įsitvirtintų pažeistose sistemose. Tai apima DLL paieškos užsakymo užgrobimą ir DLL šoninį įkėlimą, kad būtų įvestas pažeistas DLL, kuris iššifruoja ir įterpia užpakalines duris į atmintį.
Taikydami sudėtingesnį vykdymo metodą, mokslininkai pastebėjo, kad buvo naudojamas „Windows“ sparčiųjų klavišų failas („QQLaunch.lnk“), kuris sujungia du papildomus failus („h“ ir „t“), kad būtų sukurtas nesąžiningas DLL. Šis DLL įkeliamas per pervadintą „curl.exe“ versiją, užtikrinant slaptą galinių durų diegimą.
Patvarumas ir duomenų rinkimas
Įdiegus PLAYFULGHOST, naudojant kelis metodus, užkrėstoje sistemoje užtikrinamas išlikimas. Tai apima „Windows“ registro modifikavimą (paleisti raktą), suplanuotų užduočių kūrimą, įrašų įtraukimą į „Windows“ paleisties aplanką ir registraciją kaip „Windows“ paslaugą.
Užpakalinių durų galimybės leidžia rinkti daugybę slaptos informacijos, įskaitant klavišų paspaudimus, ekrano kopijas, garso įrašus, iškarpinės duomenis, išsamią įdiegtos saugos programinės įrangos informaciją, sistemos metaduomenis ir QQ paskyros kredencialus. Be to, jis gali vykdyti komandas, kad sutrikdytų vartotojo sąveiką, blokuodamas klaviatūros ir pelės įvestis, sugadindamas įvykių žurnalus ir išvalydamas mainų srities turinį.
PLAYFULGHOST taip pat turi failų tvarkymo galimybes, leidžiančias ištrinti naršyklės talpyklas ir profilius iš tokių programų kaip Sogou, QQ, 360 Safety, Firefox ir Google Chrome. Jis gali toliau pašalinti profilius ir vietinę saugyklą, susijusią su pranešimų platformomis, tokiomis kaip „Skype“, „Telegram“ ir „QQ“.
Papildomų įrankių diegimas
Kartu su PLAYFULGHOST buvo pastebėta, kad grėsmės veikėjai diegia papildomas priemones, kad sustiprintų užkrėstų sistemų kontrolę. Tarp jų yra „Mimikatz“ , gerai žinomas kredencialų šalinimo įrankis ir „rootkit“, skirtas konkretiems registro įrašams, failams ir procesams paslėpti. Be to, pristatoma atvirojo kodo programa, vadinama „Terminator“, skirta išjungti saugos mechanizmus naudojant „Bring Your Own Vulnerable Driver“ (BYOVD) techniką.
Bent vienu atveju PLAYFULGHOST buvo įterptas į BOOSTWAVE, apvalkalo kodo pagrindu sukurtą atminties lašintuvą, kuris palengvina pridedamų nešiojamųjų vykdomųjų (PE) naudingųjų krovinių diegimą.
Galimas tikslinis demografinis rodiklis
Dėmesys tokioms programoms kaip „Sogou“, „QQ“ ir „360 Safety“ kartu su „LetsVPN“ naudojimu kaip priviliojimu rodo, kad ši kampanija visų pirma skirta kiniškai kalbantiems „Windows“ vartotojams. Tačiau pažangios PLAYFULGHOST galimybės rodo platesnį panaudojimo potencialą už šios konkrečios demografinės padėties ribų.
