PLAYFULGHOST Malware
Natukoy ng mga eksperto sa cybersecurity ang isang bagong umuusbong na banta na tinatawag na PLAYFULGHOST, isang backdoor na nilagyan ng malawak na spectrum ng mga function ng pag-aani ng impormasyon. Kabilang dito ang keylogging, screen at audio capture, remote shell access at file transfer o execution na mga kakayahan.
Talaan ng mga Nilalaman
Isang Koneksyon sa Gh0st RAT
Ang PLAYFULGHOST ay nagpapakita ng mga functional na pagkakatulad sa Gh0st RAT , isang kilalang remote na tool sa pangangasiwa na naging malawak na magagamit pagkatapos ma-leak ang source code nito noong 2008. Iminumungkahi nito na ang mga banta ng aktor sa likod ng PLAYFULGHOST ay maaaring binuo sa pundasyon ng mas lumang tool habang nagpapakilala ng mga pagpapahusay upang mapalawak mga kakayahan nito.
Mga Vector ng Paunang Impeksyon
Gumagamit ang mga banta na aktor sa likod ng PLAYFULGHOST ng maraming pamamaraan para makakuha ng paunang access sa mga target na system. Kabilang dito ang mga kampanyang phishing na gumagamit ng mga tema na nauugnay sa code-of-conduct at mga taktika sa pagkalason sa SEO upang ipamahagi ang mga trojanized na bersyon ng mga lehitimong VPN application gaya ng LetsVPN.
Sa isang phishing attack scenario, ang mga biktima ay nalinlang sa pagbubukas ng isang sirang RAR archive na nagpapanggap bilang isang image file sa pamamagitan ng paggamit ng mapanlinlang na '.jpg' na extension. Kapag na-extract at naisakatuparan, ibinabagsak ng archive ang isang mapaminsalang Windows executable, na pagkatapos ay kinukuha at inilulunsad ang PLAYFULGHOST mula sa isang malayuang server.
Ang pagkalason sa SEO, sa kabilang banda, ay ginagamit upang akitin ang mga hindi mapag-aalinlanganang user na mag-download ng isang nakompromisong LetsVPN installer. Kapag naisakatuparan, ang installer na ito ay nagde-deploy ng intermediary payload, na kumukuha at nag-a-activate sa mga pangunahing bahagi ng backdoor.
Mga Advanced na Taktika sa Pag-iwas at Pagpapatupad
Ang PLAYFULGHOST ay umaasa sa iba't ibang stealth technique upang tumakas mula sa pagtuklas at magtatag ng isang foothold sa mga nakompromisong system. Kabilang dito ang DLL search order hijacking at DLL sideloading upang ipakilala ang isang nakompromisong DLL, na pagkatapos ay nagde-decrypt at nag-inject ng backdoor sa memorya.
Sa isang mas detalyadong paraan ng pagpapatupad, napagmasdan ng mga mananaliksik ang paggamit ng Windows shortcut file ('QQLaunch.lnk'), na pinagsasama ang dalawang karagdagang file ('h' at 't') upang makabuo ng rogue DLL. Ang DLL na ito ay sideloaded sa pamamagitan ng isang pinalitan ng pangalan na bersyon ng 'curl.exe,' na tinitiyak ang isang patagong deployment ng backdoor.
Pagtitiyaga at Pagkolekta ng Data
Kapag na-install na, ang PLAYFULGHOST ay nagtatatag ng pagtitiyaga sa infected na system gamit ang maraming diskarte. Kabilang dito ang pagbabago sa Windows registry (Run key), paglikha ng mga naka-iskedyul na gawain, pagdaragdag ng mga entry sa Windows Startup folder, at pagrehistro bilang isang serbisyo ng Windows.
Ang mga kakayahan ng backdoor ay nagbibigay-daan dito na mangolekta ng malawak na hanay ng sensitibong impormasyon, kabilang ang mga keystroke, mga screenshot, audio recording, data ng clipboard, mga detalye ng naka-install na software ng seguridad, metadata ng system at mga kredensyal ng QQ account. Bukod pa rito, maaari itong magsagawa ng mga utos upang makagambala sa mga pakikipag-ugnayan ng user sa pamamagitan ng pagharang sa mga input ng keyboard at mouse, pakikialam sa mga log ng kaganapan, at pag-clear ng nilalaman ng clipboard.
Ang PLAYFULGHOST ay nagpapakita rin ng mga kakayahan sa pagmamanipula ng file, na nagbibigay-daan dito na burahin ang mga cache ng browser at mga profile mula sa mga application tulad ng Sogou, QQ, 360 Safety, Firefox at Google Chrome. Maaari pa nitong alisin ang mga profile at lokal na storage na nauugnay sa mga platform ng pagmemensahe tulad ng Skype, Telegram at QQ.
Pag-deploy ng Mga Karagdagang Tool
Sa tabi ng PLAYFULGHOST, napagmasdan ang mga banta ng aktor na nagde-deploy ng mga karagdagang tool upang palakasin ang kanilang kontrol sa mga nahawaang system. Kabilang sa mga ito ang Mimikatz , isang kilalang tool sa paglalaglag ng kredensyal, at isang rootkit na idinisenyo upang itago ang mga partikular na entry sa registry, mga file at proseso. Bilang karagdagan, ang isang open-source na utility na tinatawag na Terminator ay ipinakilala upang hindi paganahin ang mga mekanismo ng seguridad sa pamamagitan ng Bring Your Own Vulnerable Driver (BYOVD) na pamamaraan.
Sa kahit isang pagkakataon, ang PLAYFULGHOST ay na-embed sa loob ng BOOSTWAVE, isang shellcode-based in-memory dropper na nagpapadali sa pag-deploy ng mga nakadugtong na Portable Executable (PE) na mga payload.
Isang Posibleng Target na Demograpiko
Ang pagtuon sa mga application tulad ng Sogou, QQ, at 360 Safety, na sinamahan ng paggamit ng LetsVPN bilang pang-akit, ay nagmumungkahi na ang kampanyang ito ay pangunahing naglalayon sa mga gumagamit ng Windows na nagsasalita ng Chinese. Gayunpaman, ang mga advanced na kakayahan ng PLAYFULGHOST ay nagpapahiwatig ng mas malawak na potensyal para sa pagsasamantala sa kabila ng partikular na demograpikong ito.
