PLAYFULGHOST มัลแวร์

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุภัยคุกคามใหม่ที่เพิ่งเกิดขึ้นซึ่งมีชื่อว่า PLAYFULGHOST ซึ่งเป็นแบ็กดอร์ที่มีฟังก์ชันการขโมยข้อมูลมากมาย ซึ่งรวมถึงการบันทึกข้อมูลด้วยการพิมพ์ การจับภาพหน้าจอและเสียง การเข้าถึงเชลล์จากระยะไกล และความสามารถในการถ่ายโอนหรือดำเนินการไฟล์

การเชื่อมต่อกับ Gh0st RAT

PLAYFULGHOST มีลักษณะการทำงานที่คล้ายคลึงกันกับ Gh0st RAT ซึ่งเป็นเครื่องมือการดูแลระบบระยะไกลที่เป็นที่รู้จักดีและเปิดให้ใช้งานได้อย่างแพร่หลายหลังจากที่โค้ดต้นฉบับถูกเปิดเผยในปี 2008 สิ่งนี้ชี้ให้เห็นว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง PLAYFULGHOST อาจสร้างเครื่องมือรุ่นเก่าโดยเพิ่มการปรับปรุงเพื่อขยายขีดความสามารถของเครื่องมือ

เวกเตอร์การติดเชื้อเริ่มต้น

ผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง PLAYFULGHOST ใช้เทคนิคต่างๆ มากมายเพื่อเข้าถึงระบบเป้าหมายในเบื้องต้น ซึ่งรวมถึงแคมเปญฟิชชิ่งที่ใช้ธีมที่เกี่ยวข้องกับจรรยาบรรณและกลวิธีการวางยา SEO เพื่อเผยแพร่เวอร์ชันโทรจันของแอปพลิเคชัน VPN ที่ถูกกฎหมาย เช่น LetsVPN

ในสถานการณ์การโจมตีแบบฟิชชิ่ง เหยื่อจะถูกหลอกให้เปิดไฟล์เก็บถาวร RAR ที่เสียหายซึ่งแอบอ้างว่าเป็นไฟล์ภาพโดยใช้นามสกุล '.jpg' ที่ทำให้เข้าใจผิด เมื่อแตกไฟล์และดำเนินการแล้ว ไฟล์เก็บถาวรจะทิ้งไฟล์ปฏิบัติการ Windows ที่เป็นอันตราย จากนั้นจะเรียกค้นและเปิดใช้งาน PLAYFULGHOST จากเซิร์ฟเวอร์ระยะไกล

ในทางกลับกัน การวางยาพิษ SEO ถูกใช้เพื่อล่อผู้ใช้ที่ไม่สงสัยให้ดาวน์โหลดตัวติดตั้ง LetsVPN ที่ถูกบุกรุก เมื่อดำเนินการ ตัวติดตั้งนี้จะปรับใช้เพย์โหลดตัวกลางซึ่งจะดึงและเปิดใช้งานส่วนประกอบหลักของแบ็คดอร์

กลยุทธ์การหลบเลี่ยงและการดำเนินการขั้นสูง

PLAYFULGHOST ใช้เทคนิคแอบแฝงต่างๆ เพื่อหลบหนีการตรวจจับและยึดครองระบบที่ถูกบุกรุก ซึ่งรวมถึงการโจมตีลำดับการค้นหา DLL และการโหลด DLL จากแหล่งภายนอกเพื่อนำ DLL ที่ถูกบุกรุกเข้ามา ซึ่งจากนั้นจะถอดรหัสและแทรกแบ็กดอร์เข้าไปในหน่วยความจำ

ในวิธีการดำเนินการที่ซับซ้อนมากขึ้น นักวิจัยได้สังเกตการใช้ไฟล์ทางลัดของ Windows ('QQLaunch.lnk') ซึ่งรวมไฟล์เพิ่มเติมสองไฟล์ ('h' และ 't') เพื่อสร้าง DLL ปลอม DLL นี้ถูกโหลดจากแหล่งอื่นผ่านเวอร์ชันที่เปลี่ยนชื่อของ 'curl.exe' เพื่อให้แน่ใจว่ามีการใช้งานแบ็คดอร์อย่างลับๆ

ความคงอยู่และการรวบรวมข้อมูล

เมื่อติดตั้งแล้ว PLAYFULGHOST จะสร้างความคงอยู่ให้กับระบบที่ติดเชื้อโดยใช้เทคนิคต่างๆ มากมาย ซึ่งได้แก่ การแก้ไขรีจิสทรีของ Windows (คีย์ Run) การสร้างงานที่กำหนดเวลาไว้ การเพิ่มรายการในโฟลเดอร์เริ่มต้นระบบของ Windows และการลงทะเบียนเป็นบริการของ Windows

ความสามารถของแบ็คดอร์ช่วยให้สามารถรวบรวมข้อมูลสำคัญต่างๆ ได้มากมาย เช่น การกดแป้นพิมพ์ ภาพหน้าจอ การบันทึกเสียง ข้อมูลคลิปบอร์ด รายละเอียดของซอฟต์แวร์ความปลอดภัยที่ติดตั้ง เมตาดาต้าของระบบ และข้อมูลรับรองบัญชี QQ นอกจากนี้ แบ็คดอร์ยังสามารถดำเนินการคำสั่งเพื่อขัดขวางการโต้ตอบของผู้ใช้ได้โดยการบล็อกการป้อนข้อมูลด้วยคีย์บอร์ดและเมาส์ แทรกแซงบันทึกเหตุการณ์ และล้างเนื้อหาในคลิปบอร์ด

PLAYFULGHOST ยังมีความสามารถในการจัดการไฟล์ ทำให้สามารถลบแคชและโปรไฟล์ของเบราว์เซอร์จากแอปพลิเคชันต่างๆ เช่น Sogou, QQ, 360 Safety, Firefox และ Google Chrome ได้ นอกจากนี้ยังสามารถลบโปรไฟล์และพื้นที่จัดเก็บข้อมูลภายในที่เกี่ยวข้องกับแพลตฟอร์มการส่งข้อความ เช่น Skype, Telegram และ QQ ได้อีกด้วย

การใช้งานเครื่องมือเพิ่มเติม

นอกจาก PLAYFULGHOST แล้ว พบว่าผู้ก่อภัยคุกคามได้ใช้เครื่องมือเสริมเพื่อเสริมการควบคุมระบบที่ติดไวรัส เครื่องมือเหล่านี้ได้แก่ Mimikatz ซึ่งเป็นเครื่องมือถ่ายโอนข้อมูลประจำตัวที่เป็นที่รู้จักดี และรูทคิทที่ออกแบบมาเพื่อปกปิดรายการรีจิสทรี ไฟล์ และกระบวนการเฉพาะ นอกจากนี้ ยังมีการนำยูทิลิตี้โอเพ่นซอร์สที่เรียกว่า Terminator มาใช้เพื่อปิดการใช้งานกลไกความปลอดภัยโดยใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD)

ในอย่างน้อยหนึ่งกรณี PLAYFULGHOST ได้ถูกฝังไว้ภายใน BOOSTWAVE ซึ่งเป็นดรอปเปอร์ในหน่วยความจำที่ใช้เชลล์โค้ดที่อำนวยความสะดวกในการปรับใช้เพย์โหลด Portable Executable (PE) ที่ผนวกเข้ามา

กลุ่มเป้าหมายที่เป็นไปได้

การเน้นไปที่แอปพลิเคชันเช่น Sogou, QQ และ 360 Safety ร่วมกับการใช้ LetsVPN เป็นตัวล่อ แสดงให้เห็นว่าแคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ Windows ที่พูดภาษาจีนเป็นหลัก อย่างไรก็ตาม ความสามารถขั้นสูงของ PLAYFULGHOST บ่งชี้ถึงศักยภาพที่กว้างขวางกว่าสำหรับการใช้ประโยชน์นอกเหนือจากกลุ่มประชากรเฉพาะนี้