GHOSTFORM RAT
GHOSTFORM är en .NET-baserad fjärråtkomsttrojan (RAT) utformad för att kombinera flera skadliga funktioner i en enda körbar binärfil. Skadlig programvara kör PowerShell-skript direkt i minnet, vilket minskar sannolikheten för upptäckt av traditionella säkerhetsverktyg. För att ytterligare kringgå säkerhetsmekanismer använder den tekniker som osynliga Windows-formulär och fördröjda exekveringstimers. På grund av dess smygande beteende och omfattande funktioner bör all upptäckt av GHOSTFORM utlösa omedelbar borttagning och incidenthantering.
Innehållsförteckning
Attackkedja ett: Implementering av skadlig kod i flera steg
Den första attackkedjan börjar med leverans av ett lösenordsskyddat RAR-arkiv som innehåller en falsk applikation designad för att likna WinRAR. När offret öppnar arkivet körs en dropper som kallas SPLITDROP. Denna dropper installerar ytterligare två skadliga komponenter: TWINTASK och TWINTALK.
SPLITDROP begär initialt ett lösenord från offret för att extrahera ett dolt arkiv. Om arkivet redan finns i systemet stoppas exekveringen. Annars dekrypterar droppern en inbäddad nyttolast i bakgrunden samtidigt som ett vilseledande felmeddelande visas för användaren. Det dekrypterade innehållet lagras i katalogen 'C:\ProgramData\PolGuid', varefter en legitim körbar fil med namnet VLC.exe startas för att avancera attacken.
När VLC.exe har körts laddar den ett skadligt dynamiskt länkbibliotek som heter TWINTASK genom DLL-sidladdning. Denna komponent väntar på instruktioner från angriparen och kör dem med PowerShell. Flera kommandon används specifikt för att etablera persistens i systemet och initiera nästa steg i komprometteringen. Som en del av denna process startar ett skript WingetUI.exe och skapar registerposter som säkerställer att både VLC.exe och WingetUI.exe körs automatiskt när systemet startas om.
TWINTALK och TWINTASK: Samordnad kommandoutförande
När WingetUI.exe körs laddar den en annan skadlig modul som kallas TWINTALK. Denna komponent ansluter till angriparens kommando- och kontrollserver och hämtar instruktioner. TWINTALK samarbetar med TWINTASK för att köra kommandon på den komprometterade maskinen.
TWINTALK stöder tre primära kommandokategorier:
- Kommandokörning på den infekterade enheten
- Filnedladdning från angriparens infrastruktur
- Filuppladdning från det komprometterade systemet till angriparen
Genom dessa funktioner får angripare omfattande kontroll över den infekterade miljön.
Attackkedja två: Direkt GHOSTFORM-utförande
Den andra attackkedjan använder GHOSTFORM själv för att utföra alla funktioner som hanteras av flera komponenter i den första kedjan. Istället för att distribuera flera filer eller förlita sig på DLL-sidladdning, kör denna variant PowerShell-kommandon direkt i minnet.
För att förbli oupptäckt skapar den skadliga programvaran ett osynligt Windows-formulär som fördröjer körningen innan nyttolasten körs. Dessutom använder kampanjen Google Forms som en del av ett lockbete med social ingenjörskonst för att uppmuntra offer att initiera den skadliga aktiviteten.
Undviknings- och uthållighetstekniker
GHOSTFORM innehåller flera mekanismer utformade för att minska upptäckt och upprätthålla långsiktig åtkomst till komprometterade system. Skadlig programvara fördröjer avsiktligt sin aktivitet genom att generera ett nästan osynligt Windows-formulär som kör en timer med en slumpmässigt bestämd fördröjning innan körningen fortsätter.
Den skapar också en mutex för att säkerställa att endast en instans av skadlig kod körs på systemet och genererar en unik bot-identifierare för att spåra infekterade maskiner. Fjärråtkomsttrojaner av denna typ används ofta för att distribuera ytterligare nyttolaster, stjäla känsliga data och filer eller utföra andra skadliga operationer i offrets miljö.
Viktiga funktioner som vanligtvis förknippas med kampanjen inkluderar:
- Distribution av ytterligare nyttolaster av skadlig kod
- Stöld av information och filer från infekterade enheter
- Fjärrkommandokörning via PowerShell
- Långvarig beständighet inom komprometterade system
ClickFix Social Engineering: Människofokuserad infektionsvektor
Kampanjen förlitar sig inte enbart på leverans av skadlig kod. Den använder också en social ingenjörskonstteknik som kallas ClickFix för att kompromettera system. Angripare skapar övertygande falska webbsidor som är utformade för att manipulera användare att utföra skadliga kommandon.
Exempel inkluderar förfalskade Cisco Webex-mötesinbjudningar eller bedrägliga webbformulär som verkar legitima. Offren instrueras att köra kommandon som automatiskt laddar ner och kör skadlig kod, vilket omedvetet initierar komprometteringen.
Blandning av skadlig kod och bedrägeri
Denna kampanj visar på en samordnad strategi som kombinerar teknisk distribution av skadlig kod med psykologisk manipulation. Angripare distribuerar skadliga filer förklädda till ofarliga program som liknar WinRAR-verktyg. När filerna öppnas injicerar de dolda komponenter av skadlig kod i operativsystemet.
När den väl är installerad körs en av komponenterna tyst i bakgrunden och kontrollerar regelbundet angriparens server för krypterade instruktioner och kör dem via PowerShell. Parallellt förlitar sig ClickFix-liknande attacker på falska undersökningar, vilseledande mötesinbjudningar eller bedrägliga onlineformulär för att övertala användare att köra kommandon som utlöser nedladdningar av skadlig kod.
Genom att kombinera avancerade verktyg för skadlig kod som TWINTASK, TWINTALK och GHOSTFORM med noggrant utformade social engineering-tekniker ökar hotande aktörer avsevärt andelen systemkomprometteringar och upprätthåller permanent fjärrkontroll över infekterade enheter.
