Multi-License Discount Quote
Banta sa Database Remote Administration Tools Kampanya ng Malware na may Dalawahang Payload

Kampanya ng Malware na may Dalawahang Payload

Sa pamamagitan ng Mezo sa Remote Administration Tools, Adware
Isalin To:

Isang bagong tuklas na kampanya ng malware ang nakakakuha ng malaking atensyon sa loob ng komunidad ng cybersecurity dahil sa kakayahan nitong mag-deploy ng dalawang magkaibang banta nang sabay-sabay. Isang obfuscated loader ang ginagamit upang maihatid ang parehong Gh0st RAT at CloverPlus sa iisang nakompromisong sistema.

Ang kombinasyong ito ay parehong hindi pangkaraniwan at lubos na estratehiko. Ang Gh0st RAT ay nagbibigay-daan sa ganap na remote control sa nahawaang makina, habang ang CloverPlus ay nakatuon sa pagmamanipula ng aktibidad ng browser, paglalagay ng mga bahagi ng advertising, at pagbuo ng kita sa pamamagitan ng mga mapanghimasok na pop-up. Ang dual deployment ay nagbibigay-daan sa mga threat actor na mapanatili ang patuloy na hindi awtorisadong pag-access habang pinagkakakitaan ang impeksyon sa real time.

Itinatampok ng kampanyang ito ang lumalaking trend patungo sa multi-payload delivery, kung saan pinapakinabangan ng mga attacker ang kahusayan sa operasyon at pinansyal na kita mula sa iisang kompromiso.

Mga Taktika sa Paglilihim: Pagtatago ng Payload

Ang loader na siyang sentro ng kampanyang ito ay ginawa para sa patagong pag-atake. Naglalagay ito ng dalawang naka-encrypt na payload sa loob ng seksyon ng mapagkukunan nito, gamit ang mga pamamaraan ng obfuscation upang maiwasan ang mga tradisyonal na mekanismo ng pagtuklas.

Nagsisimula ang pagpapatupad sa CloverPlus adware module, na kinilala bilang AdWare.Win32.CloverPlus at nauugnay sa isang executable na pinangalanang wiseman.exe. Binabago ng component na ito ang mga setting ng startup ng browser at naglalabas ng mga persistent pop-up advertisement.

Kasunod nito, sinusuri ng loader ang landas ng pagpapatupad nito. Kung hindi ito gumagana mula sa direktoryo ng %temp% ng system, gagawa ito ng kopya ng sarili nito doon bago magpatuloy. Ang susunod na hakbang ay ang pag-decrypt ng Gh0st RAT client module, na nakatago rin bilang isang naka-encrypt na mapagkukunan sa loob ng binary ng malware.

Kapag na-decrypt na, nagtatalaga ang malware ng random na filename sa payload at iniimbak ito sa isang folder na may random na pangalan na matatagpuan sa root ng C:\ drive, na lalong nagpapahirap sa pag-detect at pagsusuri.

Pamumuhay Mula sa Lupa: Mga Pinagkakatiwalaang Kasangkapan, Masamang Layunin

Upang maisagawa ang na-decrypt na payload, ginagamit ng malware ang lehitimong Windows utility na rundll32.exe. Ang pamamaraang ito ay nagbibigay-daan sa pagpapatupad ng malisyosong code sa ilalim ng pagkukunwari ng isang mapagkakatiwalaang proseso ng system, na makabuluhang binabawasan ang posibilidad ng pag-trigger ng mga depensa sa seguridad.

Kapag aktibo na, sisimulan ng Gh0st RAT ang pag-profile sa nakompromisong sistema sa pamamagitan ng pagkolekta ng mga natatanging identifier tulad ng MAC address at serial number ng hard drive. Ginagamit ang mga detalyeng ito upang irehistro ang biktima sa loob ng command-and-control infrastructure ng attacker, na tinitiyak ang tumpak na pagsubaybay at pamamahala ng mga nahawaang host.

Mga Mekanismo ng Pagtitiyaga: Pagtiyak ng Pangmatagalang Pag-access

Ang pagpapanatili ng access pagkatapos ng mga pag-reboot ng system ay isang pangunahing layunin ng kampanyang ito. Nakakamit ng Gh0st RAT ang pagtitiyaga sa pamamagitan ng maraming pamamaraan na nakapaloob nang malalim sa loob ng operating system:

Pagbabago ng Windows Run registry key upang matiyak ang awtomatikong pagpapatupad sa pagsisimula
Pagpaparehistro ng isang malisyosong DLL sa loob ng landas ng serbisyo ng Remote Access sa ilalim ng SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Ang mga pamamaraang ito ay nagbibigay sa malware ng mga pribilehiyo sa antas ng SYSTEM tuwing inilulunsad ang nauugnay na serbisyo, na nag-aalis ng pangangailangan para sa karagdagang pakikipag-ugnayan ng user at nagpapatibay sa pangmatagalang kontrol.

Pagtuklas at Depensa: Mga Indikasyon ng Kompromiso

Malaki ang epekto ng kampanyang ito para sa parehong mga indibidwal at organisasyon. Bagama't sinisira ng adware component ang functionality ng browser at pinapataas ang pagkakalantad sa malisyosong advertising, ang RAT component ay nagbibigay-daan sa pagnanakaw ng data, pag-log ng keystroke, pag-bypass sa seguridad, at patuloy na pribilehiyong pag-access.

Ang mga pangkat ng seguridad ay dapat manatiling mapagmatyag at subaybayan ang mga sumusunod na palatandaan ng kompromiso:

  • Pagpapatupad ng rundll32.exe na naglo-load ng mga DLL o hindi karaniwang mga extension ng file mula sa hindi pangkaraniwan o kahina-hinalang mga direktoryo
  • Aktibidad ng proseso na nagmumula sa folder na %temp%
  • Mga hindi awtorisadong pagbabago sa mga Run key ng registry o mga configuration ng serbisyo ng RemoteAccess
  • Paggamit ng mga pagkaantala batay sa ping upang maiwasan ang pagtuklas ng sandbox
  • Mga abnormal na pattern ng trapiko ng DNS at mga hindi inaasahang pagbabago sa file ng mga host ng system

Ang maagap na pagsubaybay at mabilis na pagtugon sa mga senyales na ito ay mahalaga upang mabawasan ang mga panganib na dulot ng sopistikadong kampanyang ito ng malware na may dalawang banta.

Trending

Pinaka Nanood

Naglo-load...