GHOSTFORM RAT
GHOSTFORM је тројански вирус за даљински приступ (RAT) базиран на .NET-у, дизајниран да комбинује неколико злонамерних могућности у једну извршну бинарну датотеку. Злонамерни софтвер извршава PowerShell скрипте директно у меморији, смањујући вероватноћу откривања од стране традиционалних безбедносних алата. Да би додатно заобишао безбедносне механизме, користи технике као што су невидљиви Windows обрасци и тајмери са одложеним извршавањем. Због свог прикривеног понашања и широких могућности, свако откривање GHOSTFORM-а требало би да покрене тренутне процедуре уклањања и реаговања на инцидент.
Преглед садржаја
Ланац напада један: Вишестепено распоређивање злонамерног софтвера
Први ланац напада почиње испоруком RAR архиве заштићене лозинком која садржи лажну апликацију дизајнирану да личим на WinRAR. Када жртва отвори архиву, покреће се дропер познат као SPLITDROP. Овај дропер инсталира две додатне компоненте злонамерног софтвера: TWINTASK и TWINTALK.
SPLITDROP првобитно захтева лозинку од жртве како би издвојио скривену архиву. Ако је архива већ присутна на систему, извршавање се зауставља. У супротном, дроппер дешифрује уграђени корисни терет у позадини док приказује обмањујућу поруку о грешци кориснику. Дешифровани садржај се чува у директоријуму „C:\ProgramData\PolGuid“, након чега се покреће легитимна извршна датотека под називом VLC.exe ради унапређења напада.
Једном извршен, VLC.exe учитава злонамерну динамичку библиотеку линкова под називом TWINTASK путем бочног учитавања DLL-а. Ова компонента чека инструкције од нападача и извршава их помоћу PowerShell-а. Неколико команди се посебно користи за успостављање перзистентности унутар система и покретање следеће фазе компромитовања. Као део овог процеса, скрипта покреће WingetUI.exe и креира уносе у регистар осигуравајући да се и VLC.exe и WingetUI.exe аутоматски покрећу сваки пут када се систем поново покрене.
TWINTALK и TWINTASK: Координирано извршавање команди
Када се WingetUI.exe изврши, он учитава још један злонамерни модул познат као TWINTALK. Ова компонента се повезује са командним сервером нападача и преузима инструкције. TWINTALK сарађује са TWINTASK-ом како би извршавао команде на угроженој машини.
TWINTALK подржава три основне категорије команди:
- Извршавање команде на зараженом уређају
- Преузимање датотеке са инфраструктуре нападача
- Отпремање датотеке са компромитованог система нападачу
Захваљујући овим могућностима, нападачи добијају опсежну контролу над зараженим окружењем.
Други ланац напада: Директно извршење GHOSTFORM-а
Други ланац напада користи сам GHOSTFORM да би обављао све функције које обављају вишеструке компоненте у првом ланцу. Уместо распоређивања неколико датотека или ослањања на бочно учитавање DLL-а, ова варијанта извршава PowerShell команде директно у меморији.
Да би остао неоткривен, злонамерни софтвер креира невидљиви Windows образац који одлаже извршавање пре него што се покрене корисни терет. Поред тога, кампања користи Google Forms као део мамца социјалног инжењеринга како би подстакла жртве да покрену злонамерну активност.
Технике избегавања и истрајности
GHOSTFORM укључује вишеструке механизме дизајниране да смање детекцију и одрже дугорочни приступ угроженим системима. Злонамерни софтвер намерно одлаже своју активност генерисањем готово невидљивог Windows обрасца који покреће тајмер са насумично одређеним кашњењем пре него што настави са извршавањем.
Такође креира mutex како би се осигурало да се само једна инстанца злонамерног софтвера покреће на систему и генерише јединствени идентификатор бота за праћење заражених машина. Тројанци за даљински приступ ове врсте се обично користе за распоређивање додатних корисних оптерећења, крађу осетљивих података и датотека или извршавање других злонамерних операција унутар окружења жртве.
Кључне могућности које се обично повезују са кампањом укључују:
- Распоређивање додатних корисних садржаја злонамерног софтвера
- Крађа информација и датотека са заражених уређаја
- Даљинско извршавање команди путем PowerShell-а
- Дугорочна перзистентност унутар угрожених система
ClickFix друштвени инжењеринг: Вектор инфекције усмерен на људе
Кампања се не ослања искључиво на испоруку злонамерног софтвера. Она такође укључује технику социјалног инжењеринга познату као ClickFix како би компромитовала системе. Нападачи креирају убедљиве лажне веб странице дизајниране да манипулишу корисницима како би извршавали злонамерне команде.
Примери укључују лажне позивнице за састанке преко Cisco Webex-а или преварне веб обрасце који изгледају легитимно. Жртвама се налаже да покрећу команде које аутоматски преузимају и извршавају злонамерни софтвер, несвесно покрећући компромитовање.
Мешање злонамерног софтвера и обмане
Ова кампања демонстрира координисани приступ који комбинује техничко распоређивање злонамерног софтвера са психолошком манипулацијом. Нападачи дистрибуирају злонамерне датотеке прерушене у безопасне програме који подсећају на WinRAR услужне програме. Када се отворе, датотеке убризгавају скривене компоненте злонамерног софтвера у оперативни систем.
Једном инсталирана, једна од компоненти ради тихо у позадини, периодично проверавајући сервер нападача за шифроване инструкције и извршавајући их путем PowerShell-а. Паралелно, напади у стилу ClickFix-а ослањају се на лажне анкете, обмањујуће позиве за састанке или преварне онлајн обрасце како би убедили кориснике да извршавају команде које покрећу преузимања злонамерног софтвера.
Комбиновањем напредних алата за злонамерни софтвер као што су TWINTASK, TWINTALK и GHOSTFORM са пажљиво осмишљеним техникама социјалног инжењеринга, актери претњи значајно повећавају стопу успеха компромитовања система и одржавају сталну даљинску контролу над зараженим уређајима.
