GHOSTFORM RAT
GHOSTFORM — это троянская программа удаленного доступа (RAT) на основе .NET, предназначенная для объединения нескольких вредоносных функций в один исполняемый файл. Вредоносное ПО выполняет сценарии PowerShell непосредственно в памяти, что снижает вероятность обнаружения традиционными средствами безопасности. Для дальнейшего обхода механизмов безопасности он использует такие методы, как невидимые формы Windows и таймеры задержки выполнения. Из-за своего скрытного поведения и обширных возможностей любое обнаружение GHOSTFORM должно немедленно инициировать процедуры удаления и реагирования на инциденты.
Оглавление
Первая цепочка атак: многоэтапное развертывание вредоносного ПО.
Первая цепочка атак начинается с доставки защищенного паролем RAR-архива, содержащего поддельное приложение, имитирующее WinRAR. Когда жертва открывает архив, запускается загрузчик SPLITDROP. Этот загрузчик устанавливает два дополнительных компонента вредоносного ПО: TWINTASK и TWINTALK.
SPLITDROP сначала запрашивает у жертвы пароль для извлечения скрытого архива. Если архив уже присутствует в системе, выполнение останавливается. В противном случае, дроппер расшифровывает встроенную полезную нагрузку в фоновом режиме, одновременно отображая пользователю обманчивое сообщение об ошибке. Расшифрованное содержимое сохраняется в каталоге «C:\ProgramData\PolGuid», после чего запускается легитимный исполняемый файл VLC.exe для дальнейшего осуществления атаки.
После запуска VLC.exe загружает вредоносную динамически подключаемую библиотеку TWINTASK посредством боковой загрузки DLL. Этот компонент ожидает инструкций от злоумышленника и выполняет их с помощью PowerShell. Для обеспечения постоянного присутствия в системе и запуска следующего этапа компрометации используется несколько команд. В рамках этого процесса скрипт запускает WingetUI.exe и создает записи в реестре, обеспечивая автоматический запуск VLC.exe и WingetUI.exe при каждой перезагрузке системы.
TWINTALK и TWINTASK: Скоординированное выполнение команд
При запуске WingetUI.exe загружается еще один вредоносный модуль, известный как TWINTALK. Этот компонент подключается к серверу управления злоумышленника и получает инструкции. TWINTALK работает совместно с TWINTASK для выполнения команд на скомпрометированной машине.
TWINTALK поддерживает три основные категории команд:
- Выполнение команд на зараженном устройстве
- Загрузка файлов с инфраструктуры злоумышленника
- Загрузка файлов из взломанной системы к злоумышленнику
Благодаря этим возможностям злоумышленники получают обширный контроль над зараженной средой.
Вторая цепочка атак: Прямое исполнение в форме призрака.
Вторая цепочка атак использует сам GHOSTFORM для выполнения всех функций, обрабатываемых множеством компонентов в первой цепочке. Вместо развертывания нескольких файлов или использования загрузки DLL-библиотек, этот вариант выполняет команды PowerShell непосредственно в памяти.
Чтобы остаться незамеченным, вредоносная программа создает невидимую форму Windows, которая задерживает выполнение до запуска полезной нагрузки. Кроме того, в рамках кампании используются Google Forms в качестве приманки для социальной инженерии, чтобы побудить жертв к запуску вредоносной активности.
Методы уклонения и настойчивости
GHOSTFORM использует множество механизмов, предназначенных для снижения вероятности обнаружения и поддержания долговременного доступа к скомпрометированным системам. Вредоносная программа намеренно задерживает свою активность, создавая практически невидимую форму Windows, которая запускает таймер со случайно заданной задержкой, прежде чем продолжить выполнение.
Он также создает мьютекс, чтобы гарантировать, что в системе будет запущен только один экземпляр вредоносного ПО, и генерирует уникальный идентификатор бота для отслеживания зараженных машин. Трояны удаленного доступа такого типа обычно используются для развертывания дополнительных полезных нагрузок, кражи конфиденциальных данных и файлов или выполнения других вредоносных операций в среде жертвы.
К основным возможностям, обычно ассоциируемым с данной кампанией, относятся:
- Развертывание дополнительных вредоносных программ.
- Кража информации и файлов с зараженных устройств.
- Удаленное выполнение команд через PowerShell
- Долгосрочное сохранение в скомпрометированных системах
Социальная инженерия ClickFix: вектор заражения, ориентированный на человека.
Кампания не полагается исключительно на распространение вредоносного ПО. Она также включает в себя метод социальной инженерии, известный как ClickFix , для компрометации систем. Злоумышленники создают убедительные поддельные веб-страницы, предназначенные для того, чтобы заставить пользователей выполнить вредоносные команды.
Примерами могут служить поддельные приглашения на совещания Cisco Webex или мошеннические веб-формы, которые выглядят как настоящие. Жертвам даются инструкции по выполнению команд, которые автоматически загружают и запускают вредоносное ПО, неосознанно инициируя компрометацию.
Сочетание вредоносного ПО и обмана
Эта кампания демонстрирует скоординированный подход, сочетающий в себе внедрение вредоносного ПО с психологическим манипулированием. Злоумышленники распространяют вредоносные файлы, замаскированные под безобидные программы, похожие на утилиты WinRAR. При открытии эти файлы внедряют скрытые компоненты вредоносного ПО в операционную систему.
После установки один из компонентов работает в фоновом режиме, периодически проверяя сервер злоумышленника на наличие зашифрованных инструкций и выполняя их через PowerShell. Параллельно с этим, атаки в стиле ClickFix используют поддельные опросы, обманчивые приглашения на встречи или мошеннические онлайн-формы, чтобы убедить пользователей выполнить команды, которые запускают загрузку вредоносного ПО.
Сочетая передовые вредоносные программы, такие как TWINTASK, TWINTALK и GHOSTFORM, с тщательно разработанными методами социальной инженерии, злоумышленники значительно повышают вероятность успешного взлома системы и поддерживают постоянный удаленный контроль над зараженными устройствами.
