GHOSTFORM RAT
GHOSTFORM, çeşitli kötü amaçlı yetenekleri tek bir çalıştırılabilir ikili dosyada birleştirmek üzere tasarlanmış, .NET tabanlı bir uzaktan erişim truva atıdır (RAT). Bu kötü amaçlı yazılım, PowerShell komut dosyalarını doğrudan bellekte çalıştırarak geleneksel güvenlik araçları tarafından tespit edilme olasılığını azaltır. Güvenlik mekanizmalarından daha fazla kaçınmak için, görünmez Windows formları ve gecikmeli yürütme zamanlayıcıları gibi teknikler kullanır. Gizli davranışı ve kapsamlı yetenekleri nedeniyle, GHOSTFORM'un herhangi bir şekilde tespit edilmesi, derhal kaldırma ve olay müdahale prosedürlerini tetiklemelidir.
İçindekiler
Saldırı Zinciri Bir: Çok Aşamalı Kötü Amaçlı Yazılım Dağıtımı
İlk saldırı zinciri, WinRAR'a benzeyecek şekilde tasarlanmış sahte bir uygulama içeren, parola korumalı bir RAR arşivinin gönderilmesiyle başlar. Kurban arşivi açtığında, SPLITDROP olarak bilinen bir yükleyici çalıştırılır. Bu yükleyici, TWINTASK ve TWINTALK olmak üzere iki ek kötü amaçlı yazılım bileşeni yükler.
SPLITDROP, öncelikle gizli bir arşivi çıkarmak için kurbandan bir parola ister. Arşiv sistemde zaten mevcutsa, işlem durur. Aksi takdirde, zararlı yazılım arka planda gömülü bir zararlı yazılımın şifresini çözerken kullanıcıya yanıltıcı bir hata mesajı gösterir. Şifresi çözülmüş içerik 'C:\ProgramData\PolGuid' dizinine kaydedilir ve ardından saldırıyı ilerletmek için VLC.exe adlı meşru bir yürütülebilir dosya başlatılır.
Çalıştırıldıktan sonra, VLC.exe, DLL yan yüklemesi yoluyla TWINTASK adlı kötü amaçlı bir dinamik bağlantı kütüphanesini yükler. Bu bileşen, saldırgandan gelen talimatları bekler ve bunları PowerShell kullanarak yürütür. Sistem içinde kalıcılık sağlamak ve saldırının bir sonraki aşamasını başlatmak için özel olarak birkaç komut kullanılır. Bu sürecin bir parçası olarak, bir komut dosyası WingetUI.exe'yi başlatır ve hem VLC.exe hem de WingetUI.exe'nin sistem yeniden başlatıldığında otomatik olarak çalışmasını sağlayan kayıt defteri girdileri oluşturur.
TWINTALK ve TWINTASK: Eşgüdümlü Komut Yürütme
WingetUI.exe çalıştırıldığında, TWINTALK olarak bilinen başka bir kötü amaçlı modülü yükler. Bu bileşen, saldırganın komuta ve kontrol sunucusuna bağlanır ve talimatlar alır. TWINTALK, ele geçirilen makinede komutları yürütmek için TWINTASK ile birlikte çalışır.
TWINTALK üç temel komut kategorisini destekler:
- Virüs bulaşmış cihazda komut yürütme
- Saldırganın altyapısından dosya indirme
- Ele geçirilen sistemden saldırgana dosya yükleme.
Bu yetenekler sayesinde saldırganlar, bulaşmış ortam üzerinde kapsamlı bir kontrol elde ederler.
İkinci Saldırı Zinciri: Doğrudan HAYALET FORMU Yürütülmesi
İkinci saldırı zinciri, ilk zincirdeki birden fazla bileşen tarafından gerçekleştirilen tüm işlevleri yerine getirmek için GHOSTFORM'un kendisini kullanır. Birkaç dosya dağıtmak veya DLL yan yüklemesine güvenmek yerine, bu varyant PowerShell komutlarını doğrudan bellekte yürütür.
Tespit edilmemek için, kötü amaçlı yazılım, zararlı yazılım çalıştırılmadan önce yürütmeyi geciktiren görünmez bir Windows formu oluşturur. Ayrıca, bu kampanya, kurbanları kötü amaçlı faaliyeti başlatmaya teşvik etmek için sosyal mühendislik tuzağının bir parçası olarak Google Formlarını kullanır.
Kaçınma ve Israr Teknikleri
GHOSTFORM, tespit edilmeyi azaltmak ve ele geçirilen sistemlere uzun süreli erişimi sürdürmek için tasarlanmış birden fazla mekanizma içerir. Kötü amaçlı yazılım, neredeyse görünmez bir Windows formu oluşturarak faaliyetini kasıtlı olarak geciktirir; bu form, yürütmeye devam etmeden önce rastgele belirlenmiş bir gecikmeyle bir zamanlayıcı çalıştırır.
Ayrıca, sistemde yalnızca tek bir kötü amaçlı yazılım örneğinin çalışmasını sağlamak için bir karşılıklı dışlama kilidi (mutex) oluşturur ve enfekte olmuş makineleri izlemek için benzersiz bir bot tanımlayıcısı üretir. Bu tür uzaktan erişim truva atları genellikle ek yükler dağıtmak, hassas verileri ve dosyaları çalmak veya kurban ortamında diğer kötü amaçlı işlemleri gerçekleştirmek için kullanılır.
Kampanya ile yaygın olarak ilişkilendirilen temel yetenekler şunlardır:
- Ek kötü amaçlı yazılım yüklerinin konuşlandırılması
- Virüs bulaşmış cihazlardan bilgi ve dosya hırsızlığı
- PowerShell aracılığıyla uzaktan komut yürütme
- Hasar görmüş sistemlerde uzun süreli devamlılık
ClickFix Sosyal Mühendisliği: İnsan Odaklı Bulaşma Vektörü
Bu kampanya yalnızca kötü amaçlı yazılım dağıtımına dayanmıyor. Ayrıca sistemleri ele geçirmek için ClickFix olarak bilinen bir sosyal mühendislik tekniğini de içeriyor. Saldırganlar, kullanıcıları kötü amaçlı komutları çalıştırmaya yönlendirmek için tasarlanmış inandırıcı sahte web sayfaları oluşturuyor.
Örnekler arasında sahte Cisco Webex toplantı davetiyeleri veya meşru gibi görünen sahte web formları yer almaktadır. Kurbanlara, otomatik olarak kötü amaçlı yazılımı indirip çalıştıran komutları çalıştırmaları talimatı verilir ve bu da farkında olmadan güvenlik ihlalinin başlamasına yol açar.
Kötü Amaçlı Yazılım ve Aldatmacanın Birleşimi
Bu kampanya, teknik kötü amaçlı yazılım dağıtımını psikolojik manipülasyonla birleştiren koordineli bir yaklaşımı göstermektedir. Saldırganlar, WinRAR yardımcı programlarına benzeyen zararsız programlar kılığında kötü amaçlı dosyalar dağıtmaktadır. Dosyalar açıldığında, işletim sistemine gizli kötü amaçlı yazılım bileşenleri enjekte edilir.
Kurulduktan sonra, bileşenlerden biri arka planda sessizce çalışarak, saldırganın sunucusunu şifrelenmiş talimatlar açısından periyodik olarak kontrol eder ve bunları PowerShell aracılığıyla yürütür. Buna paralel olarak, ClickFix tarzı saldırılar, kullanıcıları kötü amaçlı yazılım indirmelerini tetikleyen komutları yürütmeye ikna etmek için sahte anketlere, aldatıcı toplantı davetlerine veya sahte çevrimiçi formlara dayanır.
TWINTASK, TWINTALK ve GHOSTFORM gibi gelişmiş kötü amaçlı yazılım araçlarını özenle hazırlanmış sosyal mühendislik teknikleriyle birleştirerek, siber suçlular sistem ele geçirme başarı oranını önemli ölçüde artırıyor ve bulaşmış cihazlar üzerinde kalıcı uzaktan kontrol sağlıyor.
