PLAYFULGHOST Kötü Amaçlı Yazılım
Siber güvenlik uzmanları, PLAYFULGHOST olarak adlandırılan yeni ortaya çıkan bir tehdit tespit ettiler. Bu, geniş bir bilgi toplama işlevi yelpazesiyle donatılmış bir arka kapıdır. Buna tuş kaydı, ekran ve ses yakalama, uzaktan kabuk erişimi ve dosya transferi veya yürütme yetenekleri dahildir.
İçindekiler
Gh0st RAT ile Bağlantı
PLAYFULGHOST, 2008 yılında kaynak kodu sızdırıldıktan sonra yaygın olarak kullanıma sunulan, iyi bilinen bir uzaktan yönetim aracı olan Gh0st RAT ile işlevsel benzerlikler göstermektedir. Bu, PLAYFULGHOST'un arkasındaki tehdit aktörlerinin, yeteneklerini genişletmek için geliştirmeler sunarken eski aracın temelleri üzerine inşa etmiş olabileceklerini düşündürmektedir.
İlk Enfeksiyon Vektörleri
PLAYFULGHOST'un arkasındaki tehdit aktörleri hedef sistemlere ilk erişimi elde etmek için birden fazla teknik kullanır. Bunlar arasında, LetsVPN gibi meşru VPN uygulamalarının truva atı sürümlerini dağıtmak için davranış kurallarıyla ilgili temaları ve SEO zehirleme taktiklerini kullanan kimlik avı kampanyaları yer alır.
Bir kimlik avı saldırısı senaryosunda, kurbanlar yanıltıcı bir '.jpg' uzantısı kullanarak bir görüntü dosyası gibi görünen bozuk bir RAR arşivini açmaya kandırılır. Arşiv çıkarılıp yürütüldüğünde, zararlı bir Windows yürütülebilir dosyası bırakır ve ardından uzak bir sunucudan PLAYFULGHOST'u alır ve başlatır.
Öte yandan SEO zehirlenmesi, şüphelenmeyen kullanıcıları tehlikeye atılmış bir LetsVPN yükleyicisini indirmeye ikna etmek için kullanılır. Bu yükleyici, yürütüldüğünde arka kapının çekirdek bileşenlerini alıp etkinleştiren bir aracı yük dağıtır.
Gelişmiş Kaçış ve İnfaz Taktikleri
PLAYFULGHOST, tespit edilmekten kaçmak ve tehlikeye atılmış sistemlerde bir dayanak noktası oluşturmak için çeşitli gizli tekniklere güvenir. Bunlar arasında, tehlikeye atılmış bir DLL'i tanıtmak için DLL arama emri ele geçirme ve DLL yan yüklemesi bulunur, ardından şifresini çözer ve arka kapıyı belleğe enjekte eder.
Daha ayrıntılı bir yürütme yönteminde, araştırmacılar iki ek dosyayı ('h' ve 't') birleştirerek sahte bir DLL üreten bir Windows kısayol dosyasının ('QQLaunch.lnk') kullanımını gözlemlediler. Bu DLL, 'curl.exe'nin yeniden adlandırılmış bir sürümü aracılığıyla yan yüklenir ve arka kapının gizli bir şekilde dağıtılmasını sağlar.
Kalıcılık ve Veri Toplama
PLAYFULGHOST kurulduktan sonra, birden fazla teknik kullanarak enfekte olmuş sistemde kalıcılık kurar. Bunlara Windows kayıt defterini değiştirmek (Çalıştır anahtarı), zamanlanmış görevler oluşturmak, Windows Başlangıç klasörüne girdiler eklemek ve bir Windows hizmeti olarak kaydolmak dahildir.
Arka kapının yetenekleri, tuş vuruşları, ekran görüntüleri, ses kayıtları, pano verileri, yüklü güvenlik yazılımının ayrıntıları, sistem meta verileri ve QQ hesap kimlik bilgileri dahil olmak üzere çok çeşitli hassas bilgileri toplamasına olanak tanır. Ayrıca, klavye ve fare girişlerini engelleyerek, olay günlüklerini kurcalayarak ve pano içeriğini temizleyerek kullanıcı etkileşimlerini bozmak için komutlar yürütebilir.
PLAYFULGHOST ayrıca dosya düzenleme yetenekleri sergiler ve bu da Sogou, QQ, 360 Safety, Firefox ve Google Chrome gibi uygulamalardan tarayıcı önbelleklerini ve profillerini silmesini sağlar. Ayrıca Skype, Telegram ve QQ gibi mesajlaşma platformlarıyla ilişkili profilleri ve yerel depolamayı kaldırabilir.
Ek Araçların Dağıtımı
PLAYFULGHOST'un yanı sıra, tehdit aktörlerinin enfekte sistemler üzerindeki kontrollerini güçlendirmek için ek araçlar kullandıkları gözlemlendi. Bunlar arasında, iyi bilinen bir kimlik bilgisi dökümü aracı olan Mimikatz ve belirli kayıt defteri girdilerini, dosyaları ve işlemleri gizlemek için tasarlanmış bir kök araç takımı yer alıyor. Ek olarak, Kendi Güvenlik Açığı Sürücünüzü Getirin (BYOVD) tekniği aracılığıyla güvenlik mekanizmalarını devre dışı bırakmak için Terminator adlı açık kaynaklı bir yardımcı program tanıtıldı.
En azından bir örnekte, PLAYFULGHOST, eklenen Taşınabilir Yürütülebilir (PE) yüklerinin dağıtımını kolaylaştıran, kabuk koduna dayalı bir bellek içi damlatıcı olan BOOSTWAVE'in içine yerleştirilmiştir.
Olası Hedef Demografi
Sogou, QQ ve 360 Safety gibi uygulamalara odaklanma, LetsVPN'in bir yem olarak kullanılmasıyla birleştiğinde, bu kampanyanın öncelikli olarak Çince konuşan Windows kullanıcılarını hedef aldığını gösteriyor. Ancak, PLAYFULGHOST'un gelişmiş yetenekleri, bu belirli demografinin ötesinde daha geniş bir istismar potansiyeli olduğunu gösteriyor.
