PLAYFULGHOST मालवेयर
साइबरसुरक्षा विशेषज्ञहरूले PLAYFULGHOST डब गरिएको नयाँ उदीयमान खतरा पहिचान गरेका छन्, जुन सूचना-हर्केस्टिङ कार्यहरूको व्यापक स्पेक्ट्रमले सुसज्जित ब्याकडोर। यसमा कीलगिङ, स्क्रिन र अडियो क्याप्चर, रिमोट शेल पहुँच र फाइल स्थानान्तरण वा कार्यान्वयन क्षमताहरू समावेश छन्।
सामग्रीको तालिका
Gh0st RAT मा जडान
PLAYFULGHOST ले Gh0st RAT सँग कार्यात्मक समानताहरू प्रदर्शन गर्दछ, एक प्रसिद्ध रिमोट एडमिनिस्ट्रेशन उपकरण जुन 2008 मा यसको स्रोत कोड लीक भएपछि व्यापक रूपमा उपलब्ध भयो। यसले PLAYFULGHOST पछिका खतरा अभिनेताहरूले पुरानो उपकरणको आधारमा निर्माण गरेको हुनसक्छ भन्ने सुझाव दिन्छ। यसको क्षमताहरु।
प्रारम्भिक संक्रमण भेक्टरहरू
PLAYFULGHOST पछाडि धम्की दिने व्यक्तिहरूले लक्षित प्रणालीहरूमा प्रारम्भिक पहुँच प्राप्त गर्न धेरै प्रविधिहरू प्रयोग गर्छन्। यसमा फिसिङ अभियानहरू समावेश छन् जसले कोड-अफ-आचार-सम्बन्धित विषयवस्तुहरू र LetsVPN जस्ता वैध VPN अनुप्रयोगहरूको ट्रोजनाइज्ड संस्करणहरू वितरण गर्न SEO विषाक्त रणनीतिहरू प्रयोग गर्दछ।
फिसिङ आक्रमणको परिदृश्यमा, पीडितहरूलाई भ्रामक '.jpg' एक्स्टेन्सन प्रयोग गरेर छवि फाइलको रूपमा मास्करेड गर्ने भ्रष्ट RAR अभिलेख खोल्न ठगिन्छ। जब एक्स्ट्र्याक्ट र कार्यान्वयन गरिन्छ, अभिलेखले हानिकारक विन्डोज कार्यान्वयनयोग्य ड्रप गर्दछ, जसले त्यसपछि रिमोट सर्भरबाट PLAYFULGHOST पुन: प्राप्त गर्दछ र सुरूवात गर्दछ।
SEO विषाक्तता, अर्कोतर्फ, अप्रत्याशित प्रयोगकर्ताहरूलाई सम्झौता गरिएको LetsVPN स्थापनाकर्ता डाउनलोड गर्न प्रलोभन दिन प्रयोग गरिन्छ। कार्यान्वयनमा, यो स्थापनाकर्ताले एक मध्यस्थ पेलोड तैनाथ गर्दछ, जसले ब्याकडोरको कोर कम्पोनेन्टहरू ल्याउँछ र सक्रिय गर्दछ।
उन्नत चोरी र कार्यान्वयन रणनीति
PLAYFULGHOST पत्ता लगाउनबाट भाग्न र सम्झौता गरिएका प्रणालीहरूमा खुट्टा स्थापित गर्न विभिन्न स्टिल्थ प्रविधिहरूमा निर्भर गर्दछ। यसमा DLL खोज अर्डर अपहरण र DLL साइडलोडिङ एक सम्झौता गरिएको DLL परिचय गर्न समावेश छ, जसले पछि डिक्रिप्ट गर्दछ र मेमोरीमा ब्याकडोर इन्जेक्ट गर्दछ।
थप विस्तृत कार्यान्वयन विधिमा, अन्वेषकहरूले विन्डोज सर्टकट फाइल ('QQLaunch.lnk') को प्रयोगलाई अवलोकन गरे, जसले दुष्ट DLL उत्पन्न गर्न दुई अतिरिक्त फाइलहरू ('h' र 't') संयोजन गर्दछ। यो DLL 'curl.exe' को पुन: नामाकरण गरिएको संस्करण मार्फत साइडलोड गरिएको छ, ब्याकडोरको गुप्त तैनाती सुनिश्चित गर्दै।
दृढता र डाटा संग्रह
एक पटक स्थापना भएपछि, PLAYFULGHOST ले धेरै प्रविधिहरू प्रयोग गरेर संक्रमित प्रणालीमा दृढता स्थापित गर्दछ। यसमा विन्डोज रजिस्ट्री (रन कुञ्जी) परिमार्जन गर्ने, निर्धारित कार्यहरू सिर्जना गर्ने, विन्डोज स्टार्टअप फोल्डरमा प्रविष्टिहरू थप्ने, र विन्डोज सेवाको रूपमा दर्ता गर्ने समावेश छ।
ब्याकडोरको क्षमताहरूले यसलाई किस्ट्रोकहरू, स्क्रिनसटहरू, अडियो रेकर्डिङहरू, क्लिपबोर्ड डेटा, स्थापित सुरक्षा सफ्टवेयरको विवरणहरू, प्रणाली मेटाडेटा र QQ खाता प्रमाणहरू सहित संवेदनशील जानकारीको विस्तृत श्रृंखला सङ्कलन गर्न अनुमति दिन्छ। थप रूपमा, यसले किबोर्ड र माउस इनपुटहरू अवरुद्ध गरेर, घटना लगहरूसँग छेडछाड गरेर, र क्लिपबोर्ड सामग्री खाली गरेर प्रयोगकर्ता अन्तरक्रियाहरू अवरुद्ध गर्न आदेशहरू कार्यान्वयन गर्न सक्छ।
PLAYFULGHOST ले Sogou, QQ, 360 Safety, Firefox र Google Chrome जस्ता अनुप्रयोगहरूबाट ब्राउजर क्यास र प्रोफाइलहरू मेटाउन सक्षम पार्दै, फाइल हेरफेर क्षमताहरू पनि प्रदर्शन गर्दछ। यसले स्काइप, टेलिग्राम र QQ जस्ता मेसेजिङ प्लेटफर्महरूसँग सम्बन्धित प्रोफाइलहरू र स्थानीय भण्डारणहरू हटाउन सक्छ।
अतिरिक्त उपकरणहरूको तैनाती
PLAYFULGHOST को साथसाथै, खतरा अभिनेताहरूले संक्रमित प्रणालीहरूमा आफ्नो नियन्त्रणलाई सुदृढ पार्न पूरक उपकरणहरू प्रयोग गर्ने अवलोकन गरिएको छ। यी मध्ये Mimikatz , एक प्रख्यात प्रमाण-डम्पिङ उपकरण, र विशेष रजिस्ट्री प्रविष्टिहरू, फाइलहरू र प्रक्रियाहरू लुकाउन डिजाइन गरिएको रूटकिट हो। थप रूपमा, टर्मिनेटर भनिने खुला स्रोत उपयोगितालाई Bring Your Own Vulnerable Driver (BYOVD) प्रविधि मार्फत सुरक्षा संयन्त्रहरूलाई असक्षम पार्नको लागि प्रस्तुत गरिएको छ।
कम्तिमा एक उदाहरणमा, PLAYFULGHOST BOOSTWAVE भित्र सम्मिलित गरिएको छ, एक शेलकोड-आधारित इन-मेमोरी ड्रपर जसले संलग्न पोर्टेबल एक्जिक्युटेबल (पीई) पेलोडहरूको तैनातीलाई सुविधा दिन्छ।
सम्भावित लक्ष्य जनसांख्यिकी
Sogou, QQ, र 360 Safety जस्ता एप्लिकेसनहरूमा फोकस, LetsVPN को प्रलोभनको रूपमा प्रयोगको साथमा, यो अभियानले मुख्य रूपमा चिनियाँ भाषा बोल्ने विन्डोज प्रयोगकर्ताहरूलाई लक्षित गरेको सुझाव दिन्छ। यद्यपि, PLAYFULGHOST को उन्नत क्षमताहरूले यस विशिष्ट जनसांख्यिकीय भन्दा बाहिरको शोषणको लागि व्यापक सम्भावनालाई संकेत गर्दछ।
