Oprogramowanie złośliwe PLAYFULGHOST
Eksperci ds. cyberbezpieczeństwa zidentyfikowali nowe zagrożenie nazwane PLAYFULGHOST, tylne wejście wyposażone w szerokie spektrum funkcji zbierania informacji. Obejmuje to rejestrowanie naciśnięć klawiszy, przechwytywanie ekranu i dźwięku, zdalny dostęp do powłoki oraz możliwości przesyłania lub wykonywania plików.
Spis treści
Połączenie z Gh0st RAT
PLAYFULGHOST wykazuje podobieństwa funkcjonalne do Gh0st RAT , znanego narzędzia do zdalnej administracji, które stało się szeroko dostępne po wycieku kodu źródłowego w 2008 r. Sugeruje to, że osoby odpowiedzialne za zagrożenie, stojące za PLAYFULGHOST, mogły rozwijać podstawy starszego narzędzia, wprowadzając jednocześnie udoskonalenia rozszerzające jego możliwości.
Pierwotne wektory infekcji
Aktorzy zagrożeń stojący za PLAYFULGHOST stosują wiele technik, aby uzyskać wstępny dostęp do systemów docelowych. Obejmują one kampanie phishingowe wykorzystujące motywy związane z kodeksem postępowania i taktyki zatruwania SEO w celu dystrybucji trojanizowanych wersji legalnych aplikacji VPN, takich jak LetsVPN.
W scenariuszu ataku phishingowego ofiary są oszukiwane i otwierają uszkodzone archiwum RAR, które podszywa się pod plik obrazu, używając mylącego rozszerzenia „.jpg”. Po wyodrębnieniu i uruchomieniu archiwum upuszcza szkodliwy plik wykonywalny systemu Windows, który następnie pobiera i uruchamia PLAYFULGHOST ze zdalnego serwera.
Z drugiej strony zatrucie SEO jest wykorzystywane do nakłaniania niczego niepodejrzewających użytkowników do pobrania zainfekowanego instalatora LetsVPN. Po uruchomieniu instalator ten wdraża pośredni ładunek, który pobiera i aktywuje główne komponenty backdoora.
Zaawansowane taktyki unikania i egzekucji
PLAYFULGHOST opiera się na różnych technikach stealth, aby uniknąć wykrycia i uzyskać dostęp do skompromitowanych systemów. Obejmują one przechwytywanie kolejności wyszukiwania DLL i boczne ładowanie DLL w celu wprowadzenia skompromitowanej biblioteki DLL, która następnie odszyfrowuje i wstrzykuje tylne drzwi do pamięci.
W bardziej złożonej metodzie wykonania badacze zaobserwowali użycie pliku skrótu Windows („QQLaunch.lnk”), który łączy dwa dodatkowe pliki („h” i „t”), aby wygenerować nieuczciwą bibliotekę DLL. Ta biblioteka DLL jest ładowana z boku za pośrednictwem zmienionej wersji „curl.exe”, zapewniając ukryte wdrożenie backdoora.
Trwałość i zbieranie danych
Po zainstalowaniu PLAYFULGHOST ustanawia trwałość w zainfekowanym systemie, używając wielu technik. Obejmują one modyfikację rejestru Windows (klucz Run), tworzenie zaplanowanych zadań, dodawanie wpisów do folderu Startup systemu Windows i rejestrowanie się jako usługa systemu Windows.
Możliwości backdoora pozwalają mu zbierać szeroką gamę poufnych informacji, w tym naciśnięcia klawiszy, zrzuty ekranu, nagrania audio, dane ze schowka, szczegóły zainstalowanego oprogramowania zabezpieczającego, metadane systemowe i poświadczenia konta QQ. Ponadto może wykonywać polecenia zakłócające interakcje użytkownika poprzez blokowanie wprowadzania danych z klawiatury i myszy, manipulowanie dziennikami zdarzeń i czyszczenie zawartości schowka.
PLAYFULGHOST wykazuje również możliwości manipulacji plikami, co pozwala mu usuwać pamięć podręczną przeglądarki i profile z aplikacji takich jak Sogou, QQ, 360 Safety, Firefox i Google Chrome. Może również usuwać profile i pamięć lokalną związaną z platformami do przesyłania wiadomości, takimi jak Skype, Telegram i QQ.
Wdrażanie dodatkowych narzędzi
Oprócz PLAYFULGHOST, zaobserwowano, że aktorzy zagrożeń wdrażają dodatkowe narzędzia w celu wzmocnienia kontroli nad zainfekowanymi systemami. Wśród nich znajduje się Mimikatz , dobrze znane narzędzie do zrzucania poświadczeń, oraz rootkit zaprojektowany w celu ukrycia określonych wpisów rejestru, plików i procesów. Ponadto wprowadzono narzędzie typu open source o nazwie Terminator w celu wyłączenia mechanizmów bezpieczeństwa za pomocą techniki Bring Your Own Vulnerable Driver (BYOVD).
W co najmniej jednym przypadku PLAYFULGHOST został osadzony w BOOSTWAVE, pamięciowym dropperze opartym na kodzie powłoki, który ułatwia wdrażanie dołączanych ładunków Portable Executable (PE).
Możliwa grupa docelowa
Skupienie się na aplikacjach takich jak Sogou, QQ i 360 Safety, w połączeniu z wykorzystaniem LetsVPN jako przynęty, sugeruje, że ta kampania jest skierowana przede wszystkim do chińskojęzycznych użytkowników systemu Windows. Jednak zaawansowane możliwości PLAYFULGHOST wskazują na szerszy potencjał eksploatacji wykraczający poza tę konkretną grupę demograficzną.
