Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware GHOSTFORM RAT

GHOSTFORM RAT

Tegen Mezo in Malware, Hulpmiddelen voor extern beheer
Vertalen naar:

GHOSTFORM is een op .NET gebaseerde remote access trojan (RAT) die is ontworpen om verschillende kwaadaardige functionaliteiten te combineren in één uitvoerbaar bestand. De malware voert PowerShell-scripts rechtstreeks in het geheugen uit, waardoor de kans op detectie door traditionele beveiligingsprogramma's kleiner wordt. Om beveiligingsmechanismen verder te omzeilen, maakt het gebruik van technieken zoals onzichtbare Windows-formulieren en timers voor vertraagde uitvoering. Vanwege het heimelijke gedrag en de uitgebreide mogelijkheden moet elke detectie van GHOSTFORM onmiddellijk leiden tot verwijdering en incidentafhandeling.

Aanvalsketen één: Malware-implementatie in meerdere fasen

De eerste aanvalsketen begint met de levering van een met een wachtwoord beveiligd RAR-archief dat een nepapplicatie bevat die is ontworpen om op WinRAR te lijken. Wanneer het slachtoffer het archief opent, wordt een dropper genaamd SPLITDROP uitgevoerd. Deze dropper installeert twee extra malwarecomponenten: TWINTASK en TWINTALK.

SPLITDROP vraagt het slachtoffer eerst om een wachtwoord om een verborgen archief te extraheren. Als het archief al op het systeem aanwezig is, stopt de uitvoering. Zo niet, dan decodeert de dropper op de achtergrond een ingebedde payload, terwijl er een misleidende foutmelding aan de gebruiker wordt getoond. De gedecodeerde inhoud wordt opgeslagen in de map 'C:\ProgramData\PolGuid', waarna een legitiem uitvoerbaar bestand met de naam VLC.exe wordt gestart om de aanval voort te zetten.

Na uitvoering laadt VLC.exe een kwaadaardige dynamische linkbibliotheek genaamd TWINTASK via DLL-sideloading. Deze component wacht op instructies van de aanvaller en voert deze uit met behulp van PowerShell. Verschillende commando's worden specifiek gebruikt om persistentie in het systeem te verkrijgen en de volgende fase van de inbreuk te initiëren. Als onderdeel van dit proces start een script WingetUI.exe en maakt registervermeldingen aan die ervoor zorgen dat zowel VLC.exe als WingetUI.exe automatisch worden uitgevoerd wanneer het systeem opnieuw opstart.

TWINTALK en TWINTASK: Gecoördineerde commando-uitvoering

Wanneer WingetUI.exe wordt uitgevoerd, laadt het een andere kwaadaardige module genaamd TWINTALK. Deze component maakt verbinding met de command-and-control-server van de aanvaller en haalt instructies op. TWINTALK werkt samen met TWINTASK om commando's uit te voeren op de geïnfecteerde machine.

TWINTALK ondersteunt drie primaire commandocategorieën:

  • Commando-uitvoering op het geïnfecteerde apparaat
  • Bestanden downloaden van de infrastructuur van de aanvaller.
  • Bestanden uploaden van het gecompromitteerde systeem naar de aanvaller

Door middel van deze mogelijkheden verkrijgen aanvallers uitgebreide controle over de geïnfecteerde omgeving.

Aanvalsketen twee: Directe uitvoering van de spookvorm

De tweede aanvalsketen gebruikt GHOSTFORM zelf om alle functies uit te voeren die in de eerste keten door meerdere componenten werden afgehandeld. In plaats van meerdere bestanden te implementeren of te vertrouwen op DLL-sideloading, voert deze variant PowerShell-opdrachten rechtstreeks in het geheugen uit.

Om onopgemerkt te blijven, maakt de malware een onzichtbaar Windows-formulier aan dat de uitvoering vertraagt voordat de schadelijke code wordt uitgevoerd. Daarnaast gebruikt de campagne Google Forms als onderdeel van een social engineering-truc om slachtoffers aan te moedigen de schadelijke activiteit te starten.

Ontwijkings- en volhardingstechnieken

GHOSTFORM maakt gebruik van meerdere mechanismen die ontworpen zijn om detectie te bemoeilijken en langdurige toegang tot gecompromitteerde systemen te behouden. De malware vertraagt opzettelijk zijn activiteit door een bijna onzichtbaar Windows-formulier te genereren dat een timer uitvoert met een willekeurig bepaalde vertraging voordat de uitvoering wordt voortgezet.

Het creëert ook een mutex om ervoor te zorgen dat er slechts één instantie van de malware op het systeem draait en genereert een unieke bot-identificatiecode om geïnfecteerde machines te traceren. Remote Access Trojans van dit type worden vaak gebruikt om extra payloads te installeren, gevoelige gegevens en bestanden te stelen of andere kwaadaardige handelingen uit te voeren in de omgeving van het slachtoffer.

De belangrijkste competenties die doorgaans met de campagne worden geassocieerd, zijn onder meer:

  • Het inzetten van extra malware-payloads
  • Diefstal van informatie en bestanden van geïnfecteerde apparaten
  • Uitvoeren van opdrachten op afstand via PowerShell
  • Langdurige persistentie binnen gecompromitteerde systemen

ClickFix Social Engineering: een op mensen gerichte infectievector

De campagne is niet alleen gebaseerd op het verspreiden van malware. Er wordt ook gebruikgemaakt van een social engineering-techniek genaamd ClickFix om systemen te compromitteren. Aanvallers creëren overtuigende nepwebpagina's die zijn ontworpen om gebruikers te manipuleren en hen ertoe aan te zetten kwaadaardige commando's uit te voeren.

Voorbeelden hiervan zijn vervalste Cisco Webex-vergaderuitnodigingen of frauduleuze webformulieren die er legitiem uitzien. Slachtoffers worden gevraagd commando's uit te voeren die automatisch malware downloaden en uitvoeren, waardoor ze onbewust de inbreuk in gang zetten.

Malware en bedrog vermengen.

Deze campagne demonstreert een gecoördineerde aanpak die de technische inzet van malware combineert met psychologische manipulatie. Aanvallers verspreiden kwaadaardige bestanden die vermomd zijn als onschadelijke programma's die lijken op WinRAR-hulpprogramma's. Bij het openen van deze bestanden worden verborgen malwarecomponenten in het besturingssysteem geïnjecteerd.

Eenmaal geïnstalleerd, draait een van de componenten stil op de achtergrond. Deze controleert periodiek de server van de aanvaller op versleutelde instructies en voert deze uit via PowerShell. Tegelijkertijd maken ClickFix-achtige aanvallen gebruik van nep-enquêtes, misleidende uitnodigingen voor vergaderingen of frauduleuze online formulieren om gebruikers over te halen commando's uit te voeren die leiden tot het downloaden van malware.

Door geavanceerde malwaretools zoals TWINTASK, TWINTALK en GHOSTFORM te combineren met zorgvuldig opgezette social engineering-technieken, verhogen cybercriminelen de kans op succesvolle systeemcompromissen aanzienlijk en behouden ze aanhoudende controle op afstand over geïnfecteerde apparaten.

Trending

Meest bekeken

Bezig met laden...