GHOSTFORM RAT
GHOSTFORM er en .NET-basert trojaner for fjerntilgang (RAT) som er utviklet for å kombinere flere ondsinnede funksjoner i én kjørbar binærfil. Skadevaren kjører PowerShell-skript direkte i minnet, noe som reduserer sannsynligheten for at den blir oppdaget av tradisjonelle sikkerhetsverktøy. For å unngå sikkerhetsmekanismer ytterligere bruker den teknikker som usynlige Windows-skjemaer og forsinkede utførelsestimere. På grunn av dens skjulte oppførsel og omfattende funksjoner, bør enhver deteksjon av GHOSTFORM utløse umiddelbar fjerning og hendelsesresponsprosedyrer.
Innholdsfortegnelse
Angrepskjede én: Flertrinns distribusjon av skadelig programvare
Den første angrepskjeden starter med levering av et passordbeskyttet RAR-arkiv som inneholder et falskt program designet for å ligne WinRAR. Når offeret åpner arkivet, kjøres en dropper kjent som SPLITDROP. Denne dropperen installerer to ekstra skadevarekomponenter: TWINTASK og TWINTALK.
SPLITDROP ber først om et passord fra offeret for å kunne pakke ut et skjult arkiv. Hvis arkivet allerede finnes på systemet, stopper kjøringen. Ellers dekrypterer dropperen en innebygd nyttelast i bakgrunnen mens den viser en villedende feilmelding til brukeren. Det dekrypterte innholdet lagres i katalogen 'C:\ProgramData\PolGuid', hvoretter en legitim kjørbar fil kalt VLC.exe kjøres for å fremme angrepet.
Når den er kjørt, laster VLC.exe inn et ondsinnet dynamisk lenkebibliotek kalt TWINTASK gjennom DLL-sideloading. Denne komponenten venter på instruksjoner fra angriperen og kjører dem ved hjelp av PowerShell. Flere kommandoer brukes spesifikt for å etablere persistens i systemet og starte neste trinn i kompromitteringen. Som en del av denne prosessen starter et skript WingetUI.exe og oppretter registeroppføringer som sikrer at både VLC.exe og WingetUI.exe kjører automatisk når systemet starter på nytt.
TWINTALK og TWINTASK: Koordinert kommandoutførelse
Når WingetUI.exe kjøres, laster den inn en annen ondsinnet modul kjent som TWINTALK. Denne komponenten kobler seg til angriperens kommando- og kontrollserver og henter instruksjoner. TWINTALK samarbeider med TWINTASK for å utføre kommandoer på den kompromitterte maskinen.
TWINTALK støtter tre primære kommandokategorier:
- Kommandoutførelse på den infiserte enheten
- Filnedlasting fra angriperens infrastruktur
- Filopplasting fra det kompromitterte systemet til angriperen
Gjennom disse funksjonene får angripere omfattende kontroll over det infiserte miljøet.
Angrepskjede to: Direkte GHOSTFORM-utførelse
Den andre angrepskjeden bruker GHOSTFORM selv til å utføre alle funksjonene som håndteres av flere komponenter i den første kjeden. I stedet for å distribuere flere filer eller stole på DLL-sidelasting, kjører denne varianten PowerShell-kommandoer direkte i minnet.
For å forbli uoppdaget, oppretter skadevaren et usynlig Windows-skjema som forsinker kjøringen før nyttelasten kjører. I tillegg bruker kampanjen Google Forms som en del av et lokkemiddel for sosial manipulering for å oppmuntre ofrene til å starte den ondsinnede aktiviteten.
Unnvikelses- og utholdenhetsteknikker
GHOSTFORM inneholder flere mekanismer som er utformet for å redusere deteksjon og opprettholde langsiktig tilgang til kompromitterte systemer. Skadevaren forsinker bevisst aktiviteten sin ved å generere et nesten usynlig Windows-skjema som kjører en timer med en tilfeldig bestemt forsinkelse før den fortsetter kjøringen.
Den oppretter også en mutex for å sikre at bare én forekomst av skadevaren kjører på systemet, og genererer en unik bot-identifikator for å spore infiserte maskiner. Trojanere for fjerntilgang av denne typen brukes ofte til å distribuere ekstra nyttelast, stjele sensitive data og filer, eller utføre andre ondsinnede operasjoner i offermiljøet.
Viktige funksjoner som vanligvis er knyttet til kampanjen inkluderer:
- Implementering av ytterligere skadevarenyttelaster
- Tyveri av informasjon og filer fra infiserte enheter
- Ekstern kommandokjøring via PowerShell
- Langvarig vedvarende systemer
ClickFix Sosial manipulering: Menneskefokusert infeksjonsvektor
Kampanjen er ikke utelukkende avhengig av levering av skadelig programvare. Den bruker også en sosial manipuleringsteknikk kjent som ClickFix for å kompromittere systemer. Angripere lager overbevisende falske nettsider som er utformet for å manipulere brukere til å utføre ondsinnede kommandoer.
Eksempler inkluderer forfalskede Cisco Webex-møteinvitasjoner eller falske nettskjemaer som ser legitime ut. Ofrene blir bedt om å kjøre kommandoer som automatisk laster ned og kjører skadelig programvare, og uten å vite det starter kompromitteringen.
Blanding av skadelig programvare og bedrag
Denne kampanjen demonstrerer en koordinert tilnærming som kombinerer teknisk utrulling av skadelig programvare med psykologisk manipulasjon. Angripere distribuerer skadelige filer forkledd som ufarlige programmer som ligner på WinRAR-verktøy. Når filene åpnes, injiserer de skjulte skadelige komponenter i operativsystemet.
Når den er installert, kjører en av komponentene stille i bakgrunnen, og sjekker med jevne mellomrom angriperens server for krypterte instruksjoner og utfører dem via PowerShell. Parallelt er ClickFix-lignende angrep avhengige av falske spørreundersøkelser, villedende møteinvitasjoner eller uredelige nettskjemaer for å overtale brukere til å utføre kommandoer som utløser nedlastinger av skadelig programvare.
Ved å kombinere avanserte verktøy for skadelig programvare som TWINTASK, TWINTALK og GHOSTFORM med nøye utformede sosialtekniske teknikker, øker trusselaktører suksessraten for systemkompromittering betydelig og opprettholder vedvarende fjernkontroll over infiserte enheter.
