Multi-License Discount Quote
Banta sa Database Malware GHOSTFORM RAT

GHOSTFORM RAT

Sa pamamagitan ng Mezo sa Malware, Remote Administration Tools
Isalin To:

Ang GHOSTFORM ay isang .NET-based remote access trojan (RAT) na idinisenyo upang pagsamahin ang ilang malisyosong kakayahan sa isang executable binary. Direktang isinasagawa ng malware ang mga PowerShell script sa memorya, na binabawasan ang posibilidad na matuklasan ito ng mga tradisyonal na security tool. Upang higit pang maiwasan ang mga mekanismo ng seguridad, gumagamit ito ng mga pamamaraan tulad ng mga invisible na Windows form at mga delayed execution timer. Dahil sa patago nitong pag-uugali at malawak na kakayahan, ang anumang pagtuklas ng GHOSTFORM ay dapat mag-trigger ng agarang mga pamamaraan sa pag-alis at pagtugon sa insidente.

Attack Chain One: Pag-deploy ng Malware sa Maraming Yugto

Ang unang kadena ng pag-atake ay nagsisimula sa paghahatid ng isang RAR archive na protektado ng password na naglalaman ng isang pekeng application na idinisenyo upang maging kamukha ng WinRAR. Kapag binuksan ng biktima ang archive, isang dropper na kilala bilang SPLITDROP ang isasagawa. Ang dropper na ito ay nag-i-install ng dalawang karagdagang bahagi ng malware: TWINTASK at TWINTALK.

Sa simula, hihingi ang SPLITDROP ng password mula sa biktima upang makuha ang isang nakatagong archive. Kung ang archive ay nasa sistema na, hihinto ang pagpapatupad. Kung hindi, ide-decrypt ng dropper ang isang naka-embed na payload sa background habang nagpapakita ng isang mapanlinlang na mensahe ng error sa user. Ang na-decrypt na nilalaman ay iniimbak sa direktoryong 'C:\ProgramData\PolGuid,' pagkatapos nito ay ilulunsad ang isang lehitimong executable na nagngangalang VLC.exe upang isulong ang pag-atake.

Kapag naisakatuparan na, naglo-load ang VLC.exe ng isang malisyosong dynamic link library na tinatawag na TWINTASK sa pamamagitan ng DLL sideloading. Naghihintay ang component na ito ng mga tagubilin mula sa attacker at isinasagawa ang mga ito gamit ang PowerShell. Maraming command ang partikular na ginagamit upang magtatag ng persistence sa loob ng system at simulan ang susunod na yugto ng compromise. Bilang bahagi ng prosesong ito, inilulunsad ng isang script ang WingetUI.exe at lumilikha ng mga registry entry na tinitiyak na awtomatikong tatakbo ang parehong VLC.exe at WingetUI.exe tuwing magre-restart ang system.

TWINTALK at TWINTASK: Koordinadong Pagpapatupad ng Utos

Kapag pinatakbo ang WingetUI.exe, naglo-load ito ng isa pang malisyosong module na kilala bilang TWINTALK. Kumokonekta ang component na ito sa command-and-control server ng attacker at kumukuha ng mga instruksyon. Nakikipagtulungan ang TWINTALK sa TWINTASK upang isagawa ang mga command sa nakompromisong makina.

Sinusuportahan ng TWINTALK ang tatlong kategorya ng pangunahing utos:

  • Pagpapatupad ng utos sa nahawaang device
  • Pag-download ng file mula sa imprastraktura ng attacker
  • Pag-upload ng file mula sa nakompromisong sistema patungo sa attacker

Sa pamamagitan ng mga kakayahang ito, nagkakaroon ng malawak na kontrol ang mga umaatake sa nahawaang kapaligiran.

Kadena ng Pag-atake Dalawa: Direktang Pagpatupad ng GHOSTFORM

Ang pangalawang attack chain ay gumagamit ng GHOSTFORM mismo upang isagawa ang lahat ng mga tungkuling hinahawakan ng maraming bahagi sa unang chain. Sa halip na mag-deploy ng ilang mga file o umasa sa DLL sideloading, ang variant na ito ay direktang nagpapatupad ng mga utos ng PowerShell sa memorya.

Para hindi matukoy, lumilikha ang malware ng isang hindi nakikitang Windows form na nagpapaantala sa pagpapatupad bago pa man tumakbo ang payload. Bukod pa rito, ginagamit ng kampanya ang Google Forms bilang bahagi ng isang social engineering attraction upang hikayatin ang mga biktima na simulan ang malisyosong aktibidad.

Mga Teknik sa Pag-iwas at Pagtitiyaga

Isinasama ng GHOSTFORM ang maraming mekanismo na idinisenyo upang mabawasan ang pagtuklas at mapanatili ang pangmatagalang pag-access sa mga nakompromisong sistema. Sadyang inaantala ng malware ang aktibidad nito sa pamamagitan ng pagbuo ng halos hindi nakikitang Windows form na nagpapatakbo ng timer na may random na natukoy na pagkaantala bago ipagpatuloy ang pagpapatupad.

Lumilikha rin ito ng mutex upang matiyak na isang instance lang ng malware ang tumatakbo sa system at bumubuo ng natatanging bot identifier para sa pagsubaybay sa mga nahawaang makina. Ang mga remote access trojan na ganitong uri ay karaniwang ginagamit upang mag-deploy ng mga karagdagang payload, magnakaw ng sensitibong data at mga file, o magsagawa ng iba pang malisyosong operasyon sa loob ng kapaligiran ng biktima.

Ang mga pangunahing kakayahan na karaniwang nauugnay sa kampanya ay kinabibilangan ng:

  • Pag-deploy ng mga karagdagang malware payload
  • Pagnanakaw ng impormasyon at mga file mula sa mga nahawaang device
  • Malayuang pagpapatupad ng utos sa pamamagitan ng PowerShell
  • Pangmatagalang pagtitiyaga sa loob ng mga nakompromisong sistema

ClickFix Social Engineering: Vector ng Impeksyon na Nakatuon sa Tao

Hindi lamang umaasa ang kampanya sa paghahatid ng malware. Isinasama rin nito ang isang pamamaraan ng social engineering na kilala bilang ClickFix upang ikompromiso ang mga sistema. Lumilikha ang mga umaatake ng mga nakakumbinsing pekeng web page na idinisenyo upang manipulahin ang mga gumagamit na isagawa ang mga malisyosong utos.

Kabilang sa mga halimbawa ang mga pekeng imbitasyon sa pulong ng Cisco Webex o mga mapanlinlang na web form na tila lehitimo. Ang mga biktima ay inaatasan na magpatakbo ng mga utos na awtomatikong nagda-download at nagpapatupad ng malware, na hindi namamalayang nagpapasimula ng pagkompromiso.

Pagsasama ng Malware at Panlilinlang

Ipinapakita ng kampanyang ito ang isang koordinadong pamamaraan na pinagsasama ang teknikal na pag-deploy ng malware at sikolohikal na manipulasyon. Namamahagi ang mga umaatake ng mga malisyosong file na nagbabalatkayo bilang mga hindi nakakapinsalang programa na kahawig ng mga utility ng WinRAR. Kapag binuksan, ang mga file ay nag-iiniksyon ng mga nakatagong bahagi ng malware sa operating system.

Kapag na-install na, ang isa sa mga bahagi ay tahimik na tumatakbo sa background, pana-panahong sinusuri ang server ng attacker para sa mga naka-encrypt na tagubilin at isinasagawa ang mga ito sa pamamagitan ng PowerShell. Kasabay nito, ang mga pag-atakeng istilo-ClickFix ay umaasa sa mga pekeng survey, mapanlinlang na imbitasyon sa pagpupulong, o mga mapanlinlang na online form upang hikayatin ang mga user na magsagawa ng mga command na nagti-trigger ng mga pag-download ng malware.

Sa pamamagitan ng pagsasama-sama ng mga advanced na tool sa malware tulad ng TWINTASK, TWINTALK, at GHOSTFORM na may maingat na ginawang mga pamamaraan sa social engineering, lubos na nadaragdagan ng mga threat actor ang rate ng tagumpay ng pagkompromiso sa system at napapanatili ang patuloy na remote control sa mga nahawaang device.

Trending

Pinaka Nanood

Naglo-load...