GHOSTFORM RAT
GHOSTFORM është një trojan me qasje në distancë (RAT) i bazuar në .NET, i projektuar për të kombinuar disa aftësi keqdashëse në një skedar të vetëm binar të ekzekutueshëm. Malware ekzekuton skriptet PowerShell direkt në memorie, duke zvogëluar mundësinë e zbulimit nga mjetet tradicionale të sigurisë. Për të shmangur më tej mekanizmat e sigurisë, ai përdor teknika të tilla si formularët e padukshëm të Windows dhe kohëmatësit e ekzekutimit të vonuar. Për shkak të sjelljes së tij të fshehtë dhe aftësive të gjera, çdo zbulim i GHOSTFORM duhet të shkaktojë procedura të menjëhershme heqjeje dhe reagimi ndaj incidenteve.
Tabela e Përmbajtjes
Sulmi Zinxhir Një: Vendosja e Malware-it me Shumë Faza
Zinxhiri i parë i sulmit fillon me dorëzimin e një arkivi RAR të mbrojtur me fjalëkalim që përmban një aplikacion të rremë të projektuar për t'i ngjarë WinRAR. Kur viktima hap arkivin, ekzekutohet një program lëshues i njohur si SPLITDROP. Ky program lëshues instalon dy komponentë shtesë të malware: TWINTASK dhe TWINTALK.
SPLITDROP fillimisht kërkon një fjalëkalim nga viktima për të nxjerrë një arkiv të fshehur. Nëse arkivi është tashmë i pranishëm në sistem, ekzekutimi ndalet. Përndryshe, dropper dekripton një ngarkesë të ngulitur në sfond, ndërsa shfaq një mesazh gabimi mashtrues për përdoruesin. Përmbajtja e dekriptuar ruhet në direktorinë 'C:\ProgramData\PolGuid', pas së cilës niset një skedar ekzekutues legjitim i quajtur VLC.exe për të çuar përpara sulmin.
Pasi ekzekutohet, VLC.exe ngarkon një bibliotekë të lidhjeve dinamike me qëllim të keq të quajtur TWINTASK përmes ngarkimit anësor të DLL. Ky komponent pret udhëzime nga sulmuesi dhe i ekzekuton ato duke përdorur PowerShell. Disa komanda përdoren posaçërisht për të vendosur qëndrueshmëri brenda sistemit dhe për të filluar fazën tjetër të kompromentimit. Si pjesë e këtij procesi, një skript nis WingetUI.exe dhe krijon hyrje në regjistër duke siguruar që si VLC.exe ashtu edhe WingetUI.exe të ekzekutohen automatikisht sa herë që sistemi riniset.
TWINTALK dhe TWINTASK: Ekzekutimi i Koordinuar i Komandës
Kur ekzekutohet WingetUI.exe, ai ngarkon një modul tjetër keqdashës të njohur si TWINTALK. Ky komponent lidhet me serverin e komandës dhe kontrollit të sulmuesit dhe merr udhëzime. TWINTALK punon së bashku me TWINTASK për të ekzekutuar komandat në makinën e kompromentuar.
TWINTALK mbështet tre kategori kryesore komandash:
- Ekzekutimi i komandës në pajisjen e infektuar
- Shkarkim skedari nga infrastruktura e sulmuesit
- Ngarkimi i skedarit nga sistemi i kompromentuar te sulmuesi
Përmes këtyre aftësive, sulmuesit fitojnë kontroll të gjerë mbi mjedisin e infektuar.
Zinxhiri i Sulmit Dy: Ekzekutim i Drejtpërdrejtë i GHOSTFORM
Zinxhiri i dytë i sulmit përdor vetë GHOSTFORM për të kryer të gjitha funksionet e trajtuara nga komponentë të shumtë në zinxhirin e parë. Në vend që të vendosë disa skedarë ose të mbështetet në ngarkimin anësor të DLL, ky variant ekzekuton komandat PowerShell direkt në memorie.
Për të mbetur i pazbuluar, programi keqdashës krijon një formular të padukshëm të Windows që vonon ekzekutimin përpara se ngarkesa të ekzekutohet. Përveç kësaj, fushata përdor Google Forms si pjesë të një karremi inxhinierie sociale për të inkurajuar viktimat të fillojnë aktivitetin keqdashës.
Teknikat e Shmangies dhe Këmbënguljes
GHOSTFORM përfshin mekanizma të shumtë të projektuar për të zvogëluar zbulimin dhe për të ruajtur aksesin afatgjatë në sistemet e kompromentuara. Malware-i vonon qëllimisht aktivitetin e tij duke gjeneruar një formular pothuajse të padukshëm të Windows-it që ekzekuton një kohëmatës me një vonesë të përcaktuar rastësisht përpara se të vazhdojë ekzekutimin.
Gjithashtu krijon një mutex për të siguruar që vetëm një instancë e malware-it të funksionojë në sistem dhe gjeneron një identifikues unik bot-i për gjurmimin e makinave të infektuara. Trojan-ët me akses në distancë të këtij lloji përdoren zakonisht për të vendosur ngarkesa shtesë, për të vjedhur të dhëna dhe skedarë të ndjeshëm ose për të kryer operacione të tjera dashakeqe brenda mjedisit të viktimës.
Aftësitë kryesore që lidhen zakonisht me fushatën përfshijnë:
- Vendosja e ngarkesave shtesë të programeve keqdashëse
- Vjedhja e informacionit dhe skedarëve nga pajisjet e infektuara
- Ekzekutimi i komandës në distancë përmes PowerShell
- Qëndrueshmëri afatgjatë brenda sistemeve të kompromentuara
Inxhinieri Sociale ClickFix: Vektor Infeksioni i Fokusuar te Njeriu
Fushata nuk mbështetet vetëm në shpërndarjen e programeve keqdashëse. Ajo gjithashtu përfshin një teknikë të inxhinierisë sociale të njohur si ClickFix për të kompromentuar sistemet. Sulmuesit krijojnë faqe interneti të rreme bindëse, të dizajnuara për të manipuluar përdoruesit që të ekzekutojnë komanda keqdashëse.
Shembujt përfshijnë ftesa të falsifikuara për takime të Cisco Webex ose formularë mashtrues në internet që duken të ligjshëm. Viktimat udhëzohen të ekzekutojnë komanda që shkarkojnë dhe ekzekutojnë automatikisht programe keqdashëse, duke iniciuar pa vetëdije kompromentimin.
Përzierja e programeve keqdashëse dhe mashtrimit
Kjo fushatë demonstron një qasje të koordinuar që kombinon vendosjen teknike të programeve keqdashëse me manipulimin psikologjik. Sulmuesit shpërndajnë skedarë keqdashës të maskuar si programe të padëmshme që i ngjajnë shërbimeve WinRAR. Kur hapen, skedarët injektojnë komponentë të fshehur të programeve keqdashëse në sistemin operativ.
Pasi instalohet, një nga komponentët funksionon në heshtje në sfond, duke kontrolluar periodikisht serverin e sulmuesit për udhëzime të enkriptuara dhe duke i ekzekutuar ato përmes PowerShell. Paralelisht, sulmet në stilin ClickFix mbështeten në anketa të rreme, ftesa mashtruese për takime ose formularë mashtrues online për të bindur përdoruesit të ekzekutojnë komanda që shkaktojnë shkarkime të programeve keqdashëse.
Duke kombinuar mjete të përparuara të programeve keqdashëse si TWINTASK, TWINTALK dhe GHOSTFORM me teknika të inxhinierisë sociale të hartuara me kujdes, aktorët kërcënues rrisin ndjeshëm shkallën e suksesit të kompromentimit të sistemit dhe ruajnë kontroll të vazhdueshëm në distancë mbi pajisjet e infektuara.
