GHOSTFORM RAT
GHOSTFORM เป็นมัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกล (RAT) ที่ใช้ .NET ซึ่งออกแบบมาเพื่อรวมความสามารถที่เป็นอันตรายหลายอย่างไว้ในไฟล์ปฏิบัติการเดียว มัลแวร์นี้จะเรียกใช้สคริปต์ PowerShell โดยตรงในหน่วยความจำ ทำให้ลดโอกาสในการตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิม เพื่อหลีกเลี่ยงกลไกการรักษาความปลอดภัยเพิ่มเติม มันยังใช้เทคนิคต่างๆ เช่น ฟอร์ม Windows ที่มองไม่เห็น และตัวจับเวลาการทำงานที่ล่าช้า เนื่องจากพฤติกรรมที่ซ่อนเร้นและความสามารถที่กว้างขวาง การตรวจพบ GHOSTFORM ใดๆ ควรนำไปสู่การกำจัดและการตอบสนองต่อเหตุการณ์โดยทันที
สารบัญ
ห่วงโซ่การโจมตีที่หนึ่ง: การแพร่กระจายมัลแวร์หลายขั้นตอน
ขั้นตอนการโจมตีแรกเริ่มต้นด้วยการส่งไฟล์ RAR ที่ป้องกันด้วยรหัสผ่าน ซึ่งภายในบรรจุโปรแกรมปลอมที่ออกแบบมาให้คล้ายกับ WinRAR เมื่อเหยื่อเปิดไฟล์ดังกล่าว โปรแกรมตัวติดตั้งมัลแวร์ที่ชื่อว่า SPLITDROP จะถูกเรียกใช้งาน โปรแกรมนี้จะติดตั้งส่วนประกอบมัลแวร์เพิ่มเติมอีกสองตัว ได้แก่ TWINTASK และ TWINTALK
โปรแกรม SPLITDROP จะขอรหัสผ่านจากเหยื่อในขั้นต้นเพื่อแตกไฟล์เก็บถาวรที่ซ่อนอยู่ หากไฟล์เก็บถาวรนั้นมีอยู่แล้วในระบบ การทำงานจะหยุดลง มิฉะนั้น โปรแกรมจะถอดรหัสข้อมูลที่ฝังอยู่ภายในในเบื้องหลังพร้อมกับแสดงข้อความแสดงข้อผิดพลาดที่หลอกลวงแก่ผู้ใช้ เนื้อหาที่ถอดรหัสแล้วจะถูกเก็บไว้ในไดเร็กทอรี 'C:\ProgramData\PolGuid' หลังจากนั้น โปรแกรมที่ทำงานได้ตามปกติชื่อ VLC.exe จะถูกเรียกใช้งานเพื่อดำเนินการโจมตีต่อไป
เมื่อเรียกใช้งาน VLC.exe แล้ว มันจะโหลดไลบรารีลิงก์แบบไดนามิกที่เป็นอันตรายชื่อ TWINTASK ผ่านการโหลด DLL ส่วนประกอบนี้จะรอคำสั่งจากผู้โจมตีและเรียกใช้คำสั่งเหล่านั้นโดยใช้ PowerShell มีการใช้คำสั่งหลายคำสั่งโดยเฉพาะเพื่อสร้างความคงอยู่ภายในระบบและเริ่มต้นขั้นตอนต่อไปของการโจมตี ในส่วนหนึ่งของกระบวนการนี้ สคริปต์จะเรียกใช้ WingetUI.exe และสร้างรายการรีจิสทรีเพื่อให้แน่ใจว่าทั้ง VLC.exe และ WingetUI.exe จะทำงานโดยอัตโนมัติทุกครั้งที่ระบบเริ่มต้นใหม่
TWINTALK และ TWINTASK: การดำเนินการคำสั่งแบบประสานงาน
เมื่อ WingetUI.exe ถูกเรียกใช้งาน มันจะโหลดโมดูลที่เป็นอันตรายอีกตัวหนึ่งที่เรียกว่า TWINTALK ส่วนประกอบนี้จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการของผู้โจมตีและดึงคำสั่งมา TWINTALK ทำงานร่วมกับ TWINTASK เพื่อเรียกใช้คำสั่งบนเครื่องที่ถูกโจมตี
TWINTALK รองรับคำสั่งหลักสามประเภท:
- การเรียกใช้คำสั่งบนอุปกรณ์ที่ติดไวรัส
- การดาวน์โหลดไฟล์จากโครงสร้างพื้นฐานของผู้โจมตี
- การอัปโหลดไฟล์จากระบบที่ถูกบุกรุกไปยังผู้โจมตี
ด้วยความสามารถเหล่านี้ ผู้โจมตีจึงสามารถควบคุมสภาพแวดล้อมที่ติดไวรัสได้อย่างกว้างขวาง
ลำดับการโจมตีที่สอง: การเรียกใช้ GHOSTFORM โดยตรง
ห่วงโซ่การโจมตีที่สองใช้ GHOSTFORM เองในการดำเนินการทุกฟังก์ชันที่เคยทำโดยส่วนประกอบหลายตัวในห่วงโซ่แรก แทนที่จะติดตั้งไฟล์หลายไฟล์หรืออาศัยการโหลด DLL จากภายนอก วิธีนี้จะดำเนินการคำสั่ง PowerShell โดยตรงในหน่วยความจำ
เพื่อไม่ให้ถูกตรวจจับ มัลแวร์จะสร้างแบบฟอร์ม Windows ที่มองไม่เห็น ซึ่งจะหน่วงเวลาการทำงานก่อนที่โค้ดที่เป็นอันตรายจะเริ่มทำงาน นอกจากนี้ แคมเปญนี้ยังใช้ Google Forms เป็นส่วนหนึ่งของกลอุบายทางสังคมเพื่อกระตุ้นให้เหยื่อเริ่มกิจกรรมที่เป็นอันตราย
เทคนิคการหลบหลีกและการยืนหยัด
GHOSTFORM มีกลไกหลายอย่างที่ออกแบบมาเพื่อลดการตรวจจับและรักษาการเข้าถึงระบบที่ถูกบุกรุกในระยะยาว มัลแวร์นี้จงใจหน่วงเวลาการทำงานโดยการสร้างฟอร์ม Windows ที่แทบมองไม่เห็น ซึ่งจะเรียกใช้ตัวจับเวลาโดยมีการหน่วงเวลาที่กำหนดแบบสุ่มก่อนที่จะดำเนินการต่อ
นอกจากนี้ยังสร้าง mutex เพื่อให้แน่ใจว่ามีเพียงอินสแตนซ์เดียวของมัลแวร์ที่ทำงานบนระบบ และสร้างตัวระบุบอทที่ไม่ซ้ำกันสำหรับการติดตามเครื่องที่ติดไวรัส โทรจันการเข้าถึงระยะไกลประเภทนี้มักใช้เพื่อติดตั้งเพย์โหลดเพิ่มเติม ขโมยข้อมูลและไฟล์ที่สำคัญ หรือดำเนินการที่เป็นอันตรายอื่น ๆ ภายในสภาพแวดล้อมของเหยื่อ
ความสามารถหลักที่มักเกี่ยวข้องกับแคมเปญนี้ ได้แก่:
- การติดตั้งมัลแวร์เพิ่มเติม
- การขโมยข้อมูลและไฟล์จากอุปกรณ์ที่ติดไวรัส
- การเรียกใช้คำสั่งจากระยะไกลผ่าน PowerShell
- การคงอยู่ระยะยาวภายในระบบที่ถูกบุกรุก
ClickFix Social Engineering: ช่องทางการแพร่กระจายเชื้อโรคที่มุ่งเป้าไปที่มนุษย์
แคมเปญนี้ไม่ได้อาศัยเพียงแค่การส่งมัลแวร์เท่านั้น แต่ยังใช้เทคนิคทางสังคมที่เรียกว่า ClickFix เพื่อเจาะระบบด้วย ผู้โจมตีสร้างเว็บเพจปลอมที่ดูสมจริงเพื่อหลอกล่อให้ผู้ใช้ทำตามคำสั่งที่เป็นอันตราย
ตัวอย่างเช่น การปลอมแปลงคำเชิญเข้าร่วมประชุม Cisco Webex หรือแบบฟอร์มออนไลน์ปลอมที่ดูเหมือนของจริง เหยื่อจะได้รับคำแนะนำให้เรียกใช้คำสั่งที่ดาวน์โหลดและเรียกใช้มัลแวร์โดยอัตโนมัติ โดยไม่รู้ตัวว่ากำลังถูกโจมตี
การผสมผสานมัลแวร์และการหลอกลวง
แคมเปญนี้แสดงให้เห็นถึงวิธีการวางแผนอย่างเป็นระบบที่ผสมผสานการติดตั้งมัลแวร์ทางเทคนิคเข้ากับการบิดเบือนทางจิตวิทยา ผู้โจมตีแจกจ่ายไฟล์ที่เป็นอันตรายซึ่งปลอมแปลงเป็นโปรแกรมที่ไม่เป็นอันตรายคล้ายกับโปรแกรม WinRAR เมื่อเปิดไฟล์เหล่านั้น ไฟล์จะแทรกส่วนประกอบมัลแวร์ที่ซ่อนอยู่เข้าไปในระบบปฏิบัติการ
เมื่อติดตั้งแล้ว ส่วนประกอบหนึ่งจะทำงานเงียบๆ ในพื้นหลัง คอยตรวจสอบเซิร์ฟเวอร์ของผู้โจมตีเพื่อหาคำสั่งที่เข้ารหัส และดำเนินการตามคำสั่งเหล่านั้นผ่าน PowerShell ในขณะเดียวกัน การโจมตีแบบ ClickFix อาศัยแบบสำรวจปลอม คำเชิญเข้าร่วมประชุมที่หลอกลวง หรือแบบฟอร์มออนไลน์ที่เป็นเท็จ เพื่อชักจูงให้ผู้ใช้ดำเนินการคำสั่งที่ทำให้เกิดการดาวน์โหลดมัลแวร์
ด้วยการผสมผสานเครื่องมือมัลแวร์ขั้นสูง เช่น TWINTASK, TWINTALK และ GHOSTFORM เข้ากับเทคนิคการหลอกลวงทางสังคมที่ออกแบบมาอย่างพิถีพิถัน ผู้โจมตีสามารถเพิ่มอัตราความสำเร็จในการเจาะระบบได้อย่างมาก และสามารถควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกลได้อย่างต่อเนื่อง
