PLAYFULGHOST Skadlig programvara
Cybersäkerhetsexperter har identifierat ett nyligen framväxande hot som kallas PLAYFULGHOST, en bakdörr utrustad med ett brett spektrum av informationsinsamlingsfunktioner. Detta inkluderar tangentloggning, skärm- och ljudinsamling, fjärråtkomst till skal och filöverföring eller exekveringsmöjligheter.
Innehållsförteckning
En anslutning till Gh0st RAT
PLAYFULGHOST uppvisar funktionella likheter med Gh0st RAT , ett välkänt verktyg för fjärradministration som blev allmänt tillgängligt efter att dess källkod läckte ut 2008. Detta tyder på att hotaktörerna bakom PLAYFULGHOST kan ha byggt på det äldre verktygets grund samtidigt som de introducerade förbättringar för att expandera dess förmågor.
Initiala infektionsvektorer
Hotaktörerna bakom PLAYFULGHOST använder flera tekniker för att få initial tillgång till målsystem. Dessa inkluderar phishing-kampanjer som utnyttjar uppförandekodrelaterade teman och SEO-förgiftningstaktik för att distribuera trojaniserade versioner av legitima VPN-applikationer som LetsVPN.
I ett nätfiskeattackscenario luras offren att öppna ett skadat RAR-arkiv som maskerar sig som en bildfil genom att använda ett missvisande ".jpg"-tillägg. När det extraheras och körs släpper arkivet en skadlig körbar Windows-fil, som sedan hämtar och startar PLAYFULGHOST från en fjärrserver.
SEO-förgiftning, å andra sidan, används för att locka intet ont anande användare att ladda ner ett komprometterat LetsVPN-installationsprogram. Vid körning distribuerar detta installationsprogram en mellanliggande nyttolast, som hämtar och aktiverar bakdörrens kärnkomponenter.
Avancerad undanflykts- och avrättningstaktik
PLAYFULGHOST förlitar sig på olika stealth-tekniker för att fly från upptäckt och etablera fotfäste på komprometterade system. Dessa inkluderar kapning av DLL-sökorder och DLL-sidoladdning för att introducera en komprometterad DLL, som sedan dekrypterar och injicerar bakdörren i minnet.
I en mer utarbetad exekveringsmetod observerade forskare användningen av en Windows-genvägsfil ('QQLaunch.lnk'), som kombinerar två ytterligare filer ('h' och 't') för att generera en oseriös DLL. Denna DLL är sidladdad genom en omdöpt version av 'curl.exe', vilket säkerställer en hemlig distribution av bakdörren.
Persistens och datainsamling
När PLAYFULGHOST väl har installerats etablerar det beständighet på det infekterade systemet med hjälp av flera tekniker. Dessa inkluderar att modifiera Windows-registret (Kör-nyckel), skapa schemalagda uppgifter, lägga till poster i Windows Startup-mapp och registrera som en Windows-tjänst.
Bakdörrens möjligheter gör att den kan samla in ett brett utbud av känslig information, inklusive tangenttryckningar, skärmdumpar, ljudinspelningar, urklippsdata, detaljer om installerad säkerhetsprogramvara, systemmetadata och QQ-kontouppgifter. Dessutom kan den utföra kommandon för att störa användarinteraktioner genom att blockera tangentbords- och musinmatningar, manipulera händelseloggar och rensa innehåll från urklipp.
PLAYFULGHOST uppvisar också filmanipuleringsmöjligheter, vilket gör att den kan radera webbläsarcacheminne och profiler från applikationer som Sogou, QQ, 360 Safety, Firefox och Google Chrome. Det kan ytterligare ta bort profiler och lokal lagring associerad med meddelandeplattformar som Skype, Telegram och QQ.
Implementering av ytterligare verktyg
Vid sidan av PLAYFULGHOST har hotaktörer observerats använda kompletterande verktyg för att förstärka sin kontroll över infekterade system. Bland dessa finns Mimikatz , ett välkänt verktyg för dumpning av autentiseringsuppgifter, och ett rootkit utformat för att dölja specifika registerposter, filer och processer. Dessutom introduceras ett verktyg med öppen källkod som heter Terminator för att inaktivera säkerhetsmekanismer genom en Bring Your Own Vulnerable Driver (BYOVD)-teknik.
I minst ett fall har PLAYFULGHOST bäddats in i BOOSTWAVE, en skalkodsbaserad in-memory dropper som underlättar distributionen av bifogade Portable Executable (PE) nyttolaster.
En möjlig måldemografi
Fokus på applikationer som Sogou, QQ och 360 Safety, kombinerat med användningen av LetsVPN som ett lockbete, tyder på att denna kampanj i första hand riktar sig till kinesisktalande Windows-användare. PLAYFULGHOSTs avancerade funktioner indikerar dock en bredare potential för exploatering utöver denna specifika demografi.
