PLAYFULGHOST Ļaunprātīga programmatūra
Kiberdrošības eksperti ir identificējuši jaunizveidotu apdraudējumu, ko sauc par PLAYFULGHOST — aizmugures durvis, kas aprīkotas ar plašu informācijas iegūšanas funkciju spektru. Tas ietver taustiņu reģistrēšanu, ekrāna un audio uztveršanu, attālo čaulas piekļuvi un failu pārsūtīšanas vai izpildes iespējas.
Satura rādītājs
Savienojums ar Gh0st RAT
PLAYFULGHOST ir funkcionālas līdzības ar Gh0st RAT — plaši pazīstamu attālās administrēšanas rīku, kas kļuva plaši pieejams pēc tā avota koda nopludināšanas 2008. gadā. Tas liecina, ka PLAYFULGHOST radītie draudi, iespējams, ir balstījušies uz vecākā rīka pamatiem, vienlaikus ieviešot uzlabojumus, lai paplašinātu. tās iespējas.
Sākotnējās infekcijas vektori
PLAYFULGHOST apdraudējuma dalībnieki izmanto vairākas metodes, lai iegūtu sākotnējo piekļuvi mērķa sistēmām. Tie ietver pikšķerēšanas kampaņas, kas izmanto ar rīcības kodeksu saistītas tēmas un SEO saindēšanas taktikas, lai izplatītu likumīgu VPN lietojumprogrammu, piemēram, LetsVPN, trojānizētas versijas.
Pikšķerēšanas uzbrukuma gadījumā upuri tiek viltoti atvērt bojātu RAR arhīvu, kas tiek maskēts kā attēla fails, izmantojot maldinošu paplašinājumu “.jpg”. Pēc izvilkšanas un izpildes arhīvs izmet kaitīgu Windows izpildāmo failu, kas pēc tam izgūst un palaiž PLAYFULGHOST no attālā servera.
No otras puses, saindēšanās ar SEO tiek izmantota, lai pievilinātu nenojaušos lietotājus lejupielādēt apdraudētu LetsVPN instalētāju. Pēc izpildes šis instalētājs izvieto starpnieka slodzi, kas ienes un aktivizē aizmugures durvju galvenos komponentus.
Uzlabota izvairīšanās un izpildes taktika
PLAYFULGHOST paļaujas uz dažādām slepenām metodēm, lai aizbēgtu no atklāšanas un nostiprinātu stabilitāti apdraudētās sistēmās. Tie ietver DLL meklēšanas pasūtījuma nolaupīšanu un DLL sānu ielādi, lai ieviestu apdraudētu DLL, kas pēc tam atšifrē un ievada atmiņā aizmugures durvis.
Izmantojot sarežģītāku izpildes metodi, pētnieki novēroja Windows saīsnes faila (QQLaunch.lnk) izmantošanu, kas apvieno divus papildu failus ("h" un "t"), lai ģenerētu negodīgu DLL. Šis DLL tiek ielādēts, izmantojot pārdēvētu “curl.exe” versiju, nodrošinot aizmugures durvju slēptu izvietošanu.
Noturība un datu vākšana
Pēc instalēšanas PLAYFULGHOST nodrošina noturību inficētajā sistēmā, izmantojot vairākas metodes. Tie ietver Windows reģistra modificēšanu (Palaist taustiņu), ieplānotu uzdevumu izveidi, ierakstu pievienošanu Windows startēšanas mapei un reģistrēšanos kā Windows pakalpojumam.
Aizmugures durvju iespējas ļauj tai apkopot plašu sensitīvas informācijas klāstu, tostarp taustiņsitienus, ekrānuzņēmumus, audio ierakstus, starpliktuves datus, informāciju par instalēto drošības programmatūru, sistēmas metadatus un QQ konta akreditācijas datus. Turklāt tā var izpildīt komandas, lai traucētu lietotāja mijiedarbību, bloķējot tastatūras un peles ievadi, manipulējot notikumu žurnālos un notīrot starpliktuves saturu.
PLAYFULGHOST piedāvā arī failu manipulācijas iespējas, kas ļauj dzēst pārlūkprogrammas kešatmiņu un profilus no tādām lietojumprogrammām kā Sogou, QQ, 360 Safety, Firefox un Google Chrome. Tas var vēl vairāk noņemt profilus un vietējo krātuvi, kas ir saistīta ar ziņojumapmaiņas platformām, piemēram, Skype, Telegram un QQ.
Papildu rīku izvietošana
Līdzās PLAYFULGHOST ir novēroti apdraudējuma dalībnieki, kas izvieto papildu rīkus, lai pastiprinātu kontroli pār inficētajām sistēmām. To vidū ir Mimikatz , labi zināms akreditācijas datu noņemšanas rīks un saknes komplekts, kas paredzēts konkrētu reģistra ierakstu, failu un procesu slēpšanai. Turklāt tiek ieviesta atvērtā pirmkoda utilīta Terminator, lai atspējotu drošības mehānismus, izmantojot BYOVD (Bring Your Own Vulnerable Driver — BYOVD) paņēmienu.
Vismaz vienā gadījumā PLAYFULGHOST ir iegults BOOSTWAVE — uz čaulas kodu balstītā atmiņas pilinātājā, kas atvieglo pievienoto portatīvās izpildāmās (PE) lietderīgās slodzes izvietošanu.
Iespējamā mērķa demogrāfija
Koncentrēšanās uz tādām lietojumprogrammām kā Sogou, QQ un 360 Safety, apvienojumā ar LetsVPN izmantošanu kā vilinājumu, liecina, ka šī kampaņa galvenokārt ir paredzēta ķīniešu valodā runājošajiem Windows lietotājiem. Tomēr PLAYFULGHOST uzlabotās iespējas norāda uz plašāku izmantošanas potenciālu, kas pārsniedz šo konkrēto demogrāfisko stāvokli.
