Perisian hasad PLAYFULGHOST
Pakar keselamatan siber telah mengenal pasti ancaman yang baru muncul yang digelar PLAYFULGHOST, pintu belakang yang dilengkapi dengan spektrum luas fungsi penuaian maklumat. Ini termasuk pengelogan kunci, skrin dan tangkapan audio, akses shell jauh dan pemindahan fail atau keupayaan pelaksanaan.
Isi kandungan
Sambungan kepada RAT Gh0st
PLAYFULGHOST mempamerkan persamaan fungsi dengan Gh0st RAT , alat pentadbiran jauh terkenal yang tersedia secara meluas selepas kod sumbernya dibocorkan pada tahun 2008. Ini menunjukkan bahawa pelaku ancaman di sebalik PLAYFULGHOST mungkin telah dibina di atas asas alat yang lebih lama sambil memperkenalkan peningkatan untuk berkembang keupayaannya.
Vektor Jangkitan Awal
Aktor ancaman di sebalik PLAYFULGHOST menggunakan pelbagai teknik untuk mendapatkan akses awal kepada sistem sasaran. Ini termasuk kempen pancingan data yang memanfaatkan tema berkaitan kod tingkah laku dan taktik keracunan SEO untuk mengedarkan versi aplikasi VPN yang sah yang di-trojan seperti LetsVPN.
Dalam senario serangan pancingan data, mangsa diperdaya untuk membuka arkib RAR yang rosak yang menyamar sebagai fail imej dengan menggunakan sambungan '.jpg' yang mengelirukan. Apabila diekstrak dan dilaksanakan, arkib menggugurkan Windows boleh laku yang berbahaya, yang kemudiannya mengambil dan melancarkan PLAYFULGHOST daripada pelayan jauh.
Keracunan SEO, sebaliknya, digunakan untuk menarik pengguna yang tidak curiga supaya memuat turun pemasang LetsVPN yang terjejas. Selepas pelaksanaan, pemasang ini menggunakan muatan perantara, yang mengambil dan mengaktifkan komponen teras pintu belakang.
Taktik Pengelakan dan Pelaksanaan Lanjutan
PLAYFULGHOST bergantung pada pelbagai teknik siluman untuk lari daripada pengesanan dan bertapak pada sistem yang terjejas. Ini termasuk rampasan perintah carian DLL dan pemuatan sisi DLL untuk memperkenalkan DLL yang terjejas, yang kemudiannya menyahsulit dan menyuntik pintu belakang ke dalam memori.
Dalam kaedah pelaksanaan yang lebih terperinci, penyelidik memerhatikan penggunaan fail pintasan Windows ('QQLaunch.lnk'), yang menggabungkan dua fail tambahan ('h' dan 't') untuk menghasilkan DLL penyangak. DLL ini dimuatkan secara sampingan melalui versi 'curl.exe' yang dinamakan semula, memastikan penggunaan rahsia pintu belakang.
Kegigihan dan Pengumpulan Data
Setelah dipasang, PLAYFULGHOST mewujudkan kegigihan pada sistem yang dijangkiti menggunakan pelbagai teknik. Ini termasuk mengubah suai Windows registry (Run key), mencipta tugas berjadual, menambah entri pada folder Windows Startup dan mendaftar sebagai perkhidmatan Windows.
Keupayaan pintu belakang membolehkannya mengumpul pelbagai maklumat sensitif, termasuk ketukan kekunci, tangkapan skrin, rakaman audio, data papan keratan, butiran perisian keselamatan yang dipasang, metadata sistem dan kelayakan akaun QQ. Selain itu, ia boleh melaksanakan arahan untuk mengganggu interaksi pengguna dengan menyekat input papan kekunci dan tetikus, mengganggu log peristiwa dan mengosongkan kandungan papan keratan.
PLAYFULGHOST juga mempamerkan keupayaan manipulasi fail, membolehkannya memadam cache dan profil penyemak imbas daripada aplikasi seperti Sogou, QQ, 360 Safety, Firefox dan Google Chrome. Ia boleh mengalih keluar profil dan storan tempatan yang berkaitan dengan platform pemesejan seperti Skype, Telegram dan QQ selanjutnya.
Penggunaan Alat Tambahan
Di samping PLAYFULGHOST, pelaku ancaman telah diperhatikan menggunakan alat tambahan untuk mengukuhkan kawalan mereka ke atas sistem yang dijangkiti. Antaranya ialah Mimikatz , alat lambakan bukti kelayakan yang terkenal, dan kit akar yang direka untuk menyembunyikan entri, fail dan proses pendaftaran tertentu. Selain itu, utiliti sumber terbuka yang dipanggil Terminator diperkenalkan untuk melumpuhkan mekanisme keselamatan melalui teknik Bring Your Own Vulnerable Driver (BYOVD).
Dalam sekurang-kurangnya satu contoh, PLAYFULGHOST telah dibenamkan dalam BOOSTWAVE, penitis dalam ingatan berasaskan kod cengkerang yang memudahkan penggunaan muatan Boleh Laku Mudah Alih (PE) yang dilampirkan.
Demografi Sasaran Kemungkinan
Tumpuan pada aplikasi seperti Sogou, QQ, dan 360 Safety, digabungkan dengan penggunaan LetsVPN sebagai tarikan, menunjukkan bahawa kempen ini terutamanya bertujuan untuk pengguna Windows berbahasa Cina. Walau bagaimanapun, keupayaan lanjutan PLAYFULGHOST menunjukkan potensi yang lebih luas untuk eksploitasi melangkaui demografi khusus ini.
