GHOSTFORM RAT

GHOSTFORM एक .NET-आधारित रिमोट एक्सेस ट्रोजन (RAT) हो जुन धेरै दुर्भावनापूर्ण क्षमताहरूलाई एकल कार्यान्वयनयोग्य बाइनरीमा संयोजन गर्न डिजाइन गरिएको हो। मालवेयरले मेमोरीमा सिधै PowerShell स्क्रिप्टहरू कार्यान्वयन गर्दछ, जसले परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता लगाउने सम्भावनालाई कम गर्दछ। सुरक्षा संयन्त्रहरूबाट बच्नको लागि, यसले अदृश्य विन्डोज फारमहरू र ढिलाइ भएको कार्यान्वयन टाइमरहरू जस्ता प्रविधिहरू प्रयोग गर्दछ। यसको गोप्य व्यवहार र व्यापक क्षमताहरूको कारण, GHOSTFORM को कुनै पनि पत्ता लगाउनाले तुरुन्तै हटाउने र घटना प्रतिक्रिया प्रक्रियाहरू ट्रिगर गर्नुपर्छ।

आक्रमण श्रृंखला एक: बहु-चरण मालवेयर तैनाती

पहिलो आक्रमण श्रृंखला पासवर्ड-सुरक्षित RAR अभिलेखको डेलिभरीबाट सुरु हुन्छ जसमा WinRAR जस्तो देखिने गरी डिजाइन गरिएको नक्कली अनुप्रयोग हुन्छ। जब पीडितले अभिलेख खोल्छ, SPLITDROP भनेर चिनिने ड्रपर कार्यान्वयन गरिन्छ। यो ड्रपरले दुई अतिरिक्त मालवेयर कम्पोनेन्टहरू स्थापना गर्दछ: TWINTASK र TWINTALK।

SPLITDROP ले सुरुमा लुकेको अभिलेख निकाल्न पीडितबाट पासवर्ड अनुरोध गर्दछ। यदि अभिलेख पहिले नै प्रणालीमा अवस्थित छ भने, कार्यान्वयन रोकिन्छ। अन्यथा, ड्रपरले प्रयोगकर्तालाई भ्रामक त्रुटि सन्देश प्रदर्शन गर्दा पृष्ठभूमिमा एम्बेडेड पेलोडलाई डिक्रिप्ट गर्दछ। डिक्रिप्ट गरिएको सामग्री 'C:\ProgramData\PolGuid' डाइरेक्टरीमा भण्डारण गरिन्छ, जस पछि आक्रमणलाई अगाडि बढाउन VLC.exe नामक वैध कार्यान्वयनयोग्य सुरु गरिन्छ।

एकपटक कार्यान्वयन भएपछि, VLC.exe ले DLL साइडलोडिङ मार्फत TWINTASK भनिने दुर्भावनापूर्ण गतिशील लिङ्क लाइब्रेरी लोड गर्छ। यो कम्पोनेन्टले आक्रमणकारीबाट निर्देशनहरूको लागि पर्खन्छ र PowerShell प्रयोग गरेर तिनीहरूलाई कार्यान्वयन गर्छ। प्रणाली भित्र स्थिरता स्थापित गर्न र सम्झौताको अर्को चरण सुरु गर्न धेरै आदेशहरू विशेष रूपमा प्रयोग गरिन्छ। यस प्रक्रियाको भागको रूपमा, स्क्रिप्टले WingetUI.exe सुरु गर्छ र रजिस्ट्री प्रविष्टिहरू सिर्जना गर्दछ जसले प्रणाली पुन: सुरु हुँदा VLC.exe र WingetUI.exe दुवै स्वचालित रूपमा चल्ने कुरा सुनिश्चित गर्दछ।

TWINTALK र TWINTASK: समन्वित आदेश कार्यान्वयन

जब WingetUI.exe कार्यान्वयन हुन्छ, यसले TWINTALK भनेर चिनिने अर्को दुर्भावनापूर्ण मोड्युल लोड गर्छ। यो कम्पोनेन्ट आक्रमणकारीको कमाण्ड-एन्ड-कन्ट्रोल सर्भरमा जडान हुन्छ र निर्देशनहरू पुनःप्राप्त गर्छ। TWINTALK ले सम्झौता गरिएको मेसिनमा आदेशहरू कार्यान्वयन गर्न TWINTASK सँग मिलेर काम गर्छ।

TWINTALK ले तीन प्राथमिक आदेश कोटीहरूलाई समर्थन गर्दछ:

• संक्रमित उपकरणमा आदेश कार्यान्वयन
• आक्रमणकारीको पूर्वाधारबाट फाइल डाउनलोड गर्नुहोस्
• क्षतिग्रस्त प्रणालीबाट आक्रमणकारीमा फाइल अपलोड गर्ने

यी क्षमताहरू मार्फत, आक्रमणकारीहरूले संक्रमित वातावरणमा व्यापक नियन्त्रण प्राप्त गर्छन्।

आक्रमण शृङ्खला दुई: प्रत्यक्ष GHOSTFORM कार्यान्वयन

दोस्रो आक्रमण श्रृंखलाले पहिलो श्रृंखलामा धेरै कम्पोनेन्टहरूद्वारा ह्यान्डल गरिएका सबै कार्यहरू गर्न GHOSTFORM आफैं प्रयोग गर्दछ। धेरै फाइलहरू तैनाथ गर्नु वा DLL साइडलोडिङमा भर पर्नुको सट्टा, यो भेरियन्टले मेमोरीमा सिधै PowerShell आदेशहरू कार्यान्वयन गर्दछ।

पत्ता नलाग्नको लागि, मालवेयरले एक अदृश्य विन्डोज फारम सिर्जना गर्दछ जसले पेलोड चल्नु अघि कार्यान्वयनमा ढिलाइ गर्दछ। थप रूपमा, अभियानले पीडितहरूलाई दुर्भावनापूर्ण गतिविधि सुरु गर्न प्रोत्साहित गर्न सामाजिक इन्जिनियरिङ प्रलोभनको भागको रूपमा गुगल फारमहरू प्रयोग गर्दछ।

टार्ने र दृढताका तरिकाहरू

GHOSTFORM ले पत्ता लगाउने क्षमता कम गर्न र सम्झौता गरिएका प्रणालीहरूमा दीर्घकालीन पहुँच कायम राख्न डिजाइन गरिएका धेरै संयन्त्रहरू समावेश गर्दछ। मालवेयरले जानाजानी लगभग अदृश्य विन्डोज फारम उत्पन्न गरेर आफ्नो गतिविधिलाई ढिलाइ गर्छ जसले कार्यान्वयन जारी राख्नु अघि अनियमित रूपमा निर्धारित ढिलाइको साथ टाइमर चलाउँछ।

यसले प्रणालीमा मालवेयरको एउटा मात्र उदाहरण चल्छ भनी सुनिश्चित गर्न म्युटेक्स पनि सिर्जना गर्दछ र संक्रमित मेसिनहरू ट्र्याक गर्नको लागि एक अद्वितीय बोट पहिचानकर्ता उत्पन्न गर्दछ। यस प्रकारका रिमोट एक्सेस ट्रोजनहरू सामान्यतया थप पेलोडहरू तैनाथ गर्न, संवेदनशील डेटा र फाइलहरू चोर्न, वा पीडित वातावरण भित्र अन्य दुर्भावनापूर्ण कार्यहरू गर्न प्रयोग गरिन्छ।

अभियानसँग सामान्यतया सम्बन्धित प्रमुख क्षमताहरू समावेश छन्:

• थप मालवेयर पेलोडहरूको तैनाती
• संक्रमित उपकरणहरूबाट जानकारी र फाइलहरूको चोरी
• PowerShell मार्फत रिमोट कमाण्ड कार्यान्वयन
• सम्झौता गरिएका प्रणालीहरू भित्र दीर्घकालीन स्थिरता

क्लिकफिक्स सामाजिक इन्जिनियरिङ: मानव-केन्द्रित संक्रमण भेक्टर

यो अभियान मालवेयर डेलिभरीमा मात्र भर पर्दैन। यसले प्रणालीहरूलाई सम्झौता गर्न क्लिकफिक्स भनेर चिनिने सामाजिक इन्जिनियरिङ प्रविधि पनि समावेश गर्दछ। आक्रमणकारीहरूले प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण आदेशहरू कार्यान्वयन गर्न हेरफेर गर्न डिजाइन गरिएको आकर्षक नक्कली वेब पृष्ठहरू सिर्जना गर्छन्।

उदाहरणहरूमा नक्कली सिस्को वेबेक्स बैठक निमन्त्रणाहरू वा जालसाजीपूर्ण वेब फारमहरू समावेश छन् जुन वैध देखिन्छन्। पीडितहरूलाई स्वचालित रूपमा मालवेयर डाउनलोड र कार्यान्वयन गर्ने आदेशहरू चलाउन निर्देशन दिइन्छ, अनजानमा सम्झौता सुरु गर्दै।

मालवेयर र छलकपटको मिश्रण

यो अभियानले एक समन्वित दृष्टिकोण प्रदर्शन गर्दछ जसले प्राविधिक मालवेयर तैनातीलाई मनोवैज्ञानिक हेरफेरसँग जोड्दछ। आक्रमणकारीहरूले WinRAR उपयोगिताहरू जस्तै हानिरहित कार्यक्रमहरूको रूपमा भेषमा दुर्भावनापूर्ण फाइलहरू वितरण गर्छन्। खोल्दा, फाइलहरूले अपरेटिङ सिस्टममा लुकेका मालवेयर घटकहरू इन्जेक्ट गर्छन्।

एकपटक स्थापना भएपछि, एउटा कम्पोनेन्ट पृष्ठभूमिमा चुपचाप चल्छ, समय-समयमा आक्रमणकारीको सर्भरलाई इन्क्रिप्टेड निर्देशनहरूको लागि जाँच गर्छ र PowerShell मार्फत तिनीहरूलाई कार्यान्वयन गर्छ। समानान्तरमा, ClickFix-शैलीका आक्रमणहरू नक्कली सर्वेक्षणहरू, भ्रामक बैठक निमन्त्रणाहरू, वा धोखाधडी अनलाइन फारमहरूमा भर पर्छन् जसले प्रयोगकर्ताहरूलाई मालवेयर डाउनलोडहरू ट्रिगर गर्ने आदेशहरू कार्यान्वयन गर्न मनाउँछ।

TWINTASK, TWINTALK, र GHOSTFORM जस्ता उन्नत मालवेयर उपकरणहरूलाई सावधानीपूर्वक तयार पारिएका सामाजिक इन्जिनियरिङ प्रविधिहरूसँग संयोजन गरेर, खतरा अभिनेताहरूले प्रणाली सम्झौताको सफलता दरलाई उल्लेखनीय रूपमा बढाउँछन् र संक्रमित उपकरणहरूमा निरन्तर रिमोट कन्ट्रोल कायम राख्छन्।