Multilicenčná zľavová ponuka
Databáza hrozieb Malvér GHOSTFORM RAT

GHOSTFORM RAT

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

GHOSTFORM je trójsky kôň pre vzdialený prístup (RAT) založený na .NET, ktorý je navrhnutý tak, aby kombinoval niekoľko škodlivých funkcií do jedného spustiteľného binárneho súboru. Škodlivý kôň spúšťa skripty PowerShell priamo v pamäti, čím znižuje pravdepodobnosť detekcie tradičnými bezpečnostnými nástrojmi. Na ďalšie obchádzanie bezpečnostných mechanizmov používa techniky, ako sú neviditeľné formuláre systému Windows a časovače oneskoreného vykonávania. Vzhľadom na jeho nenápadné správanie a rozsiahle možnosti by akékoľvek zistenie GHOSTFORMU malo spustiť okamžité odstránenie a reakciu na incident.

Útočný reťazec jedna: Viacstupňové nasadenie malvéru

Prvý reťazec útokov začína doručením RAR archívu chráneného heslom, ktorý obsahuje falošnú aplikáciu navrhnutú tak, aby sa podobala WinRAR. Keď obeť otvorí archív, spustí sa spúšťač známy ako SPLITDROP. Tento spúšťač nainštaluje dve ďalšie komponenty malvéru: TWINTASK a TWINTALK.

SPLITDROP najprv od obete požaduje heslo, aby mohol extrahovať skrytý archív. Ak sa archív v systéme už nachádza, vykonávanie sa zastaví. V opačnom prípade dropper na pozadí dešifruje vložený obsah a zároveň používateľovi zobrazí klamlivú chybovú správu. Dešifrovaný obsah sa uloží do adresára „C:\ProgramData\PolGuid“, po čom sa spustí legitímny spustiteľný súbor s názvom VLC.exe na podporu útoku.

Po spustení VLC.exe načíta škodlivú dynamickú knižnicu s názvom TWINTASK prostredníctvom bočného načítavania DLL. Táto súčasť čaká na pokyny od útočníka a vykoná ich pomocou PowerShellu. Na zabezpečenie perzistencie v systéme a spustenie ďalšej fázy kompromitácie sa používa niekoľko príkazov. Súčasťou tohto procesu je spustenie skriptu WingetUI.exe a vytvorenie položiek v registri, ktoré zabezpečia automatické spustenie VLC.exe aj WingetUI.exe pri každom reštarte systému.

TWINTALK a TWINTASK: Koordinované vykonávanie príkazov

Keď sa spustí WingetUI.exe, načíta sa ďalší škodlivý modul známy ako TWINTALK. Tento komponent sa pripája k útočníkovmu serveru riadenia a načítava inštrukcie. TWINTALK spolupracuje s TWINTASK na vykonávaní príkazov na napadnutom počítači.

TWINTALK podporuje tri hlavné kategórie príkazov:

  • Vykonanie príkazu na infikovanom zariadení
  • Stiahnutie súboru z infraštruktúry útočníka
  • Nahranie súboru z napadnutého systému útočníkovi

Vďaka týmto schopnostiam útočníci získavajú rozsiahlu kontrolu nad infikovaným prostredím.

Útočný reťazec dva: Priame vykonanie GHOSTFORM

Druhý útočný reťazec využíva samotný GHOSTFORM na vykonávanie všetkých funkcií, ktoré spravujú viaceré komponenty v prvom reťazci. Namiesto nasadenia viacerých súborov alebo spoliehania sa na bočné načítanie DLL tento variant vykonáva príkazy PowerShellu priamo v pamäti.

Aby malvér zostal nepozorovaný, vytvorí neviditeľný formulár systému Windows, ktorý oneskoruje vykonanie pred spustením užitočného zaťaženia. Okrem toho kampaň využíva Google Forms ako súčasť sociálneho inžinierstva, aby povzbudila obete k spusteniu škodlivej aktivity.

Techniky úniku a vytrvalosti

GHOSTFORM obsahuje viacero mechanizmov navrhnutých na zníženie detekcie a udržanie dlhodobého prístupu k napadnutým systémom. Škodlivý softvér zámerne oneskoruje svoju aktivitu generovaním takmer neviditeľného formulára systému Windows, ktorý spúšťa časovač s náhodne určeným oneskorením pred pokračovaním v vykonávaní.

Taktiež vytvára mutex, aby sa zabezpečilo, že v systéme beží iba jedna inštancia malvéru, a generuje jedinečný identifikátor bota na sledovanie infikovaných počítačov. Trójske kone pre vzdialený prístup tohto typu sa bežne používajú na nasadenie ďalších údajov, krádež citlivých údajov a súborov alebo vykonávanie iných škodlivých operácií v prostredí obete.

Medzi kľúčové schopnosti bežne spojené s kampaňou patria:

  • Nasadenie ďalších dátových súborov škodlivého softvéru
  • Krádež informácií a súborov z infikovaných zariadení
  • Vzdialené vykonávanie príkazov cez PowerShell
  • Dlhodobé pretrvávanie v rámci ohrozených systémov

Sociálne inžinierstvo ClickFix: Vektor infekcie zameraný na človeka

Kampaň sa nespolieha výlučne na doručovanie malvéru. Na napadnutie systémov využíva aj techniku sociálneho inžinierstva známu ako ClickFix . Útočníci vytvárajú presvedčivé falošné webové stránky určené na manipuláciu používateľov s cieľom prinútiť ich vykonávať škodlivé príkazy.

Medzi príklady patria falošné pozvánky na stretnutia Cisco Webex alebo podvodné webové formuláre, ktoré sa zdajú byť legitímne. Obeťam sa poverí spúšťaním príkazov, ktoré automaticky stiahnu a spustia malvér, čím nevedomky iniciujú kompromitáciu.

Miešanie malvéru a podvodu

Táto kampaň demonštruje koordinovaný prístup, ktorý kombinuje technické nasadenie malvéru s psychologickou manipuláciou. Útočníci šíria škodlivé súbory maskované ako neškodné programy pripomínajúce nástroje WinRAR. Po otvorení súbory vložia do operačného systému skryté komponenty malvéru.

Po nainštalovaní jedna z komponentov beží ticho na pozadí, pravidelne kontroluje server útočníka, či neobsahuje šifrované inštrukcie, a vykonáva ich prostredníctvom PowerShellu. Súbežne sa útoky v štýle ClickFix spoliehajú na falošné prieskumy, klamlivé pozvánky na stretnutia alebo podvodné online formuláre, aby presvedčili používateľov, aby vykonali príkazy, ktoré spúšťajú sťahovanie malvéru.

Kombináciou pokročilých nástrojov na boj s malvérom, ako sú TWINTASK, TWINTALK a GHOSTFORM, so starostlivo vytvorenými technikami sociálneho inžinierstva útočníci výrazne zvyšujú úspešnosť napadnutia systému a udržiavajú si trvalú diaľkovú kontrolu nad infikovanými zariadeniami.

Trendy

Najviac videné

Načítava...