GHOSTFORM RAT
GHOSTFORM to trojan zdalnego dostępu (RAT) oparty na platformie .NET, zaprojektowany w celu połączenia kilku złośliwych funkcji w jeden plik wykonywalny. Szkodliwe oprogramowanie wykonuje skrypty programu PowerShell bezpośrednio w pamięci, zmniejszając prawdopodobieństwo wykrycia przez tradycyjne narzędzia bezpieczeństwa. Aby dodatkowo ominąć mechanizmy bezpieczeństwa, wykorzystuje techniki takie jak niewidoczne formularze systemu Windows i opóźnione liczniki wykonania. Ze względu na swoje ukryte działanie i rozbudowane możliwości, każde wykrycie GHOSTFORM powinno spowodować natychmiastowe usunięcie i uruchomienie procedur reagowania na incydenty.
Spis treści
Pierwszy łańcuch ataków: wieloetapowe wdrażanie złośliwego oprogramowania
Pierwszy łańcuch ataku rozpoczyna się od dostarczenia chronionego hasłem archiwum RAR zawierającego fałszywą aplikację zaprojektowaną tak, aby przypominała WinRAR. Po otwarciu archiwum przez ofiarę uruchamiany jest dropper o nazwie SPLITDROP. Ten dropper instaluje dwa dodatkowe komponenty złośliwego oprogramowania: TWINTASK i TWINTALK.
SPLITDROP początkowo żąda od ofiary podania hasła w celu wyodrębnienia ukrytego archiwum. Jeśli archiwum jest już obecne w systemie, wykonywanie zostaje przerwane. W przeciwnym razie dropper odszyfrowuje osadzony ładunek w tle, wyświetlając użytkownikowi zwodniczy komunikat o błędzie. Odszyfrowana zawartość jest zapisywana w katalogu „C:\ProgramData\PolGuid”, po czym uruchamiany jest prawidłowy plik wykonywalny o nazwie VLC.exe, aby przyspieszyć atak.
Po uruchomieniu, VLC.exe ładuje złośliwą bibliotekę dołączaną dynamicznie (DLL) o nazwie TWINTASK poprzez boczne ładowanie bibliotek DLL. Komponent ten oczekuje na instrukcje od atakującego i wykonuje je za pomocą programu PowerShell. Kilka poleceń jest wykorzystywanych specjalnie do ustanowienia trwałości w systemie i zainicjowania kolejnego etapu ataku. W ramach tego procesu skrypt uruchamia WingetUI.exe i tworzy wpisy w rejestrze, zapewniając automatyczne uruchamianie zarówno VLC.exe, jak i WingetUI.exe przy każdym ponownym uruchomieniu systemu.
TWINTALK i TWINTASK: skoordynowane wykonywanie poleceń
Po uruchomieniu WingetUI.exe, ładuje się kolejny złośliwy moduł znany jako TWINTALK. Komponent ten łączy się z serwerem poleceń i kontroli atakującego i pobiera instrukcje. TWINTALK współpracuje z TWINTASK, aby wykonywać polecenia na zainfekowanej maszynie.
TWINTALK obsługuje trzy podstawowe kategorie poleceń:
- Wykonywanie poleceń na zainfekowanym urządzeniu
- Pobieranie plików z infrastruktury atakującego
- Przesyłanie plików z zainfekowanego systemu do atakującego
Dzięki tym możliwościom atakujący uzyskują szeroką kontrolę nad zainfekowanym środowiskiem.
Drugi łańcuch ataku: bezpośrednie wykonanie GHOSTFORM
Drugi łańcuch ataków wykorzystuje sam GHOSTFORM do wykonywania wszystkich funkcji obsługiwanych przez wiele komponentów w pierwszym łańcuchu. Zamiast wdrażania kilku plików lub polegania na bocznym ładowaniu bibliotek DLL, ten wariant wykonuje polecenia programu PowerShell bezpośrednio w pamięci.
Aby pozostać niewykrytym, złośliwe oprogramowanie tworzy niewidoczny formularz w systemie Windows, który opóźnia wykonanie przed uruchomieniem ładunku. Ponadto, kampania wykorzystuje Formularze Google jako element socjotechniki, aby zachęcić ofiary do zainicjowania szkodliwej aktywności.
Techniki unikania i wytrwałości
GHOSTFORM zawiera wiele mechanizmów zaprojektowanych w celu ograniczenia wykrywalności i utrzymania długoterminowego dostępu do zainfekowanych systemów. Szkodliwe oprogramowanie celowo opóźnia swoją aktywność, generując niemal niewidoczny formularz systemu Windows, który uruchamia licznik czasu z losowo ustalonym opóźnieniem przed kontynuowaniem działania.
Tworzy również mutex, aby zapewnić, że w systemie działa tylko jedna instancja złośliwego oprogramowania, i generuje unikalny identyfikator bota do śledzenia zainfekowanych maszyn. Trojany zdalnego dostępu tego typu są powszechnie wykorzystywane do wdrażania dodatkowych ładunków, kradzieży poufnych danych i plików lub wykonywania innych złośliwych operacji w środowisku ofiary.
Do najważniejszych możliwości powszechnie kojarzonych z kampanią należą:
- Wdrażanie dodatkowych ładunków złośliwego oprogramowania
- Kradzież informacji i plików z zainfekowanych urządzeń
- Zdalne wykonywanie poleceń za pomocą programu PowerShell
- Długotrwałe utrzymywanie się w zagrożonych systemach
Inżynieria społeczna ClickFix: wektor infekcji skoncentrowany na człowieku
Kampania nie opiera się wyłącznie na dostarczaniu złośliwego oprogramowania. Wykorzystuje również technikę socjotechniczną znaną jako ClickFix , mającą na celu włamanie się do systemów. Atakujący tworzą przekonujące fałszywe strony internetowe, których celem jest manipulowanie użytkownikami i nakłonienie ich do wykonania złośliwych poleceń.
Przykładami mogą być fałszywe zaproszenia na spotkania Cisco Webex lub fałszywe formularze internetowe, które wyglądają na legalne. Ofiary otrzymują polecenia, które automatycznie pobierają i uruchamiają złośliwe oprogramowanie, nieświadomie inicjując atak.
Łączenie złośliwego oprogramowania i oszustwa
Ta kampania jest przykładem skoordynowanego podejścia, które łączy techniczne wdrażanie złośliwego oprogramowania z manipulacją psychologiczną. Atakujący rozpowszechniają złośliwe pliki podszywające się pod nieszkodliwe programy przypominające programy WinRAR. Po otwarciu pliki te wstrzykują do systemu operacyjnego ukryte komponenty złośliwego oprogramowania.
Po zainstalowaniu jeden z komponentów działa dyskretnie w tle, okresowo sprawdzając serwer atakującego pod kątem zaszyfrowanych instrukcji i wykonując je za pomocą programu PowerShell. Jednocześnie ataki w stylu ClickFix opierają się na fałszywych ankietach, oszukańczych zaproszeniach na spotkania lub fałszywych formularzach online, aby nakłonić użytkowników do wykonania poleceń uruchamiających pobieranie złośliwego oprogramowania.
Łącząc zaawansowane narzędzia do złośliwego oprogramowania, takie jak TWINTASK, TWINTALK i GHOSTFORM, ze starannie opracowanymi technikami inżynierii społecznej, osoby zagrażające bezpieczeństwu znacznie zwiększają prawdopodobieństwo powodzenia ataku na system i utrzymują stałą zdalną kontrolę nad zainfekowanymi urządzeniami.
