PLAYFULGHOST Zlonamerna programska oprema
Strokovnjaki za kibernetsko varnost so identificirali novo nastajajočo grožnjo, imenovano PLAYFULGHOST, stranska vrata, opremljena s širokim spektrom funkcij za zbiranje informacij. To vključuje beleženje tipkovnice, zajem zaslona in zvoka, dostop do lupine na daljavo in zmogljivosti prenosa ali izvajanja datotek.
Kazalo
Povezava z Gh0st RAT
PLAYFULGHOST kaže funkcionalne podobnosti z Gh0st RAT , dobro znanim orodjem za oddaljeno skrbništvo, ki je postalo splošno dostopno, potem ko je leta 2008 ušla njegova izvorna koda. To nakazuje, da so akterji groženj, ki stojijo za PLAYFULGHOST, morda gradili na osnovi starejšega orodja, medtem ko so uvedli izboljšave za razširitev njegove zmogljivosti.
Začetni vektorji okužbe
Akterji groženj za PLAYFULGHOST uporabljajo več tehnik za pridobitev začetnega dostopa do ciljnih sistemov. Te vključujejo lažno predstavljanje, ki izkorišča teme, povezane s kodeksom ravnanja, in taktike zastrupitve SEO za distribucijo trojanskih različic zakonitih aplikacij VPN, kot je LetsVPN.
V scenariju lažnega predstavljanja so žrtve zavedene, da odprejo poškodovan arhiv RAR, ki se maskira kot slikovna datoteka z uporabo zavajajoče pripone ».jpg«. Ko je arhiv ekstrahiran in izveden, izpusti škodljivo izvršljivo datoteko Windows, ki nato pridobi in zažene PLAYFULGHOST z oddaljenega strežnika.
Po drugi strani pa se zastrupitev s SEO uporablja za privabljanje nič hudega slutečih uporabnikov v prenos ogroženega namestitvenega programa LetsVPN. Po izvedbi ta namestitveni program razmesti vmesno koristno obremenitev, ki pridobi in aktivira glavne komponente backdoorja.
Napredne taktike izogibanja in usmrtitve
PLAYFULGHOST se zanaša na različne prikrite tehnike, da pobegne od odkrivanja in vzpostavi oporo na ogroženih sistemih. Ti vključujejo ugrabitev vrstnega reda iskanja DLL in stransko nalaganje DLL za uvedbo ogroženega DLL, ki nato dešifrira in vstavi stranska vrata v pomnilnik.
Pri bolj izpopolnjeni metodi izvajanja so raziskovalci opazili uporabo datoteke z bližnjicami sistema Windows ('QQLaunch.lnk'), ki združuje dve dodatni datoteki ('h' in 't'), da ustvari lažni DLL. Ta DLL je stransko naložen prek preimenovane različice 'curl.exe', kar zagotavlja prikrito namestitev stranskih vrat.
Vztrajnost in zbiranje podatkov
Ko je PLAYFULGHOST nameščen, vzpostavi obstojnost v okuženem sistemu z uporabo več tehnik. Ti vključujejo spreminjanje registra sistema Windows (tipka Zaženi), ustvarjanje načrtovanih opravil, dodajanje vnosov v zagonsko mapo sistema Windows in registracijo kot storitev Windows.
Zmogljivosti zakulisnih vrat omogočajo zbiranje širokega nabora občutljivih informacij, vključno s pritiski tipk, posnetki zaslona, zvočnimi posnetki, podatki o odložišču, podrobnostmi nameščene varnostne programske opreme, sistemskimi metapodatki in poverilnicami računa QQ. Poleg tega lahko izvaja ukaze za motenje uporabniških interakcij z blokiranjem vnosov tipkovnice in miške, spreminjanjem dnevnikov dogodkov in brisanjem vsebine odložišča.
PLAYFULGHOST ima tudi zmožnosti manipulacije z datotekami, kar mu omogoča brisanje predpomnilnikov brskalnika in profilov iz aplikacij, kot so Sogou, QQ, 360 Safety, Firefox in Google Chrome. Poleg tega lahko odstrani profile in lokalno shrambo, povezano s platformami za sporočanje, kot so Skype, Telegram in QQ.
Namestitev dodatnih orodij
Poleg PLAYFULGHOST so opazili akterje groženj, ki uporabljajo dodatna orodja za krepitev svojega nadzora nad okuženimi sistemi. Med njimi sta Mimikatz , dobro znano orodje za izpis poverilnic in rootkit, zasnovan za prikrivanje določenih vnosov v registru, datotek in procesov. Poleg tega je uveden odprtokodni pripomoček, imenovan Terminator, ki onemogoči varnostne mehanizme s tehniko Bring Your Own Vulnerable Driver (BYOVD).
V vsaj enem primeru je bil PLAYFULGHOST vdelan v BOOSTWAVE, kapalko v pomnilniku, ki temelji na lupinski kodi in olajša uvajanje priloženih prenosnih izvedljivih (PE) koristnih obremenitev.
Možna ciljna demografija
Osredotočenost na aplikacije, kot so Sogou, QQ in 360 Safety, skupaj z uporabo LetsVPN kot vabe, nakazuje, da je ta kampanja namenjena predvsem kitajsko govorečim uporabnikom sistema Windows. Vendar pa napredne zmogljivosti PLAYFULGHOST kažejo na širši potencial za izkoriščanje, ki presega to specifično demografsko skupino.
