PLAYFULGHOST Malvér
Experti na kybernetickú bezpečnosť identifikovali novovznikajúcu hrozbu s názvom PLAYFULGHOST, zadné vrátka vybavené širokým spektrom funkcií na zber informácií. To zahŕňa keylogging, snímanie obrazovky a zvuku, vzdialený prístup k shellu a možnosti prenosu alebo spúšťania súborov.
Obsah
Pripojenie k Gh0st RAT
PLAYFULGHOST vykazuje funkčnú podobnosť s Gh0st RAT , známym nástrojom vzdialenej správy, ktorý sa stal široko dostupným po úniku jeho zdrojového kódu v roku 2008. To naznačuje, že aktéri hrozieb stojaci za PLAYFULGHOST mohli stavať na základoch staršieho nástroja a zároveň zavádzať vylepšenia na rozšírenie jeho schopnosti.
Počiatočné infekčné vektory
Aktéri hrozieb za PLAYFULGHOST využívajú viacero techník na získanie počiatočného prístupu k cieľovým systémom. Patria sem phishingové kampane, ktoré využívajú témy súvisiace s kódexom správania a taktiky otravy SEO na distribúciu trójskych verzií legitímnych aplikácií VPN, ako je LetsVPN.
V scenári phishingového útoku sú obete oklamané, aby otvorili poškodený archív RAR, ktorý sa maskuje ako obrazový súbor pomocou zavádzajúcej prípony „.jpg“. Po rozbalení a spustení archív zahodí škodlivý spustiteľný súbor Windows, ktorý potom načíta a spustí PLAYFULGHOST zo vzdialeného servera.
Na druhej strane otrava SEO sa používa na nalákanie nič netušiacich používateľov na stiahnutie napadnutého inštalačného programu LetsVPN. Po spustení tento inštalátor nasadí sprostredkovateľské užitočné zaťaženie, ktoré načíta a aktivuje základné komponenty zadného vrátka.
Pokročilá taktika úniku a popravy
PLAYFULGHOST sa spolieha na rôzne tajné techniky, aby utiekol pred detekciou a vytvoril oporu v napadnutých systémoch. Medzi ne patrí únos príkazu vyhľadávania DLL a bočné načítanie DLL na zavedenie kompromitovanej knižnice DLL, ktorá potom dešifruje a vloží zadné vrátka do pamäte.
V prepracovanejšej metóde vykonávania výskumníci pozorovali použitie súboru skratky Windows ('QQLaunch.lnk'), ktorý kombinuje dva ďalšie súbory ('h' a 't') na generovanie nečestnej knižnice DLL. Táto knižnica DLL sa načítava cez premenovanú verziu 'curl.exe', ktorá zabezpečuje skryté nasadenie backdoor.
Perzistencia a zber údajov
Po nainštalovaní PLAYFULGHOST zaisťuje pretrvávanie na infikovanom systéme pomocou viacerých techník. Patrí medzi ne úprava databázy Registry systému Windows (kľúč Run), vytváranie plánovaných úloh, pridávanie položiek do priečinka Po spustení systému Windows a registrácia ako služba systému Windows.
Možnosti zadného vrátka mu umožňujú zhromažďovať širokú škálu citlivých informácií, vrátane stlačenia klávesov, snímok obrazovky, zvukových nahrávok, údajov zo schránky, podrobností o nainštalovanom bezpečnostnom softvéri, systémových metadát a poverení účtu QQ. Okrem toho môže vykonávať príkazy na narušenie interakcie používateľa blokovaním vstupov z klávesnice a myši, manipuláciou s protokolmi udalostí a vymazaním obsahu schránky.
PLAYFULGHOST tiež vykazuje možnosti manipulácie so súbormi, čo mu umožňuje vymazať vyrovnávaciu pamäť prehliadača a profily z aplikácií, ako sú Sogou, QQ, 360 Safety, Firefox a Google Chrome. Ďalej môže odstrániť profily a miestne úložisko spojené s platformami na odosielanie správ, ako sú Skype, Telegram a QQ.
Nasadenie doplnkových nástrojov
Popri PLAYFULGHOST boli pozorovaní aktéri hrozieb, ktorí nasadzovali doplnkové nástroje na posilnenie svojej kontroly nad infikovanými systémami. Medzi ne patrí Mimikatz , známy nástroj na dumping prihlasovacích údajov a rootkit navrhnutý na ukrytie špecifických položiek registra, súborov a procesov. Okrem toho je predstavený open-source nástroj s názvom Terminator, ktorý deaktivuje bezpečnostné mechanizmy pomocou techniky Bring Your Own Vulnerable Driver (BYOVD).
Minimálne v jednom prípade bol PLAYFULGHOST vložený do BOOSTWAVE, in-memory dropper založený na shell kóde, ktorý uľahčuje nasadenie pridaných prenosných spustiteľných súborov (PE).
Možná cieľová demografická skupina
Zameranie na aplikácie ako Sogou, QQ a 360 Safety v kombinácii s používaním LetsVPN ako návnady naznačuje, že táto kampaň sa primárne zameriava na čínsky hovoriacich používateľov Windowsu. Pokročilé možnosti PLAYFULGHOST však naznačujú širší potenciál využitia nad rámec tejto špecifickej demografickej skupiny.
