Кампанія з подвійним навантаженням шкідливого програмного забезпечення
Нещодавно виявлена кампанія шкідливого програмного забезпечення привертає значну увагу спільноти кібербезпеки завдяки своїй здатності одночасно розгортати дві різні загрози. Для доставки Gh0st RAT та CloverPlus на одну й ту саму скомпрометовану систему використовується один обфускований завантажувач.
Таке поєднання є водночас незвичним і дуже стратегічним. Gh0st RAT забезпечує повний дистанційний контроль над зараженою машиною, тоді як CloverPlus зосереджується на маніпулюванні активністю браузера, впровадженні рекламних компонентів та отриманні доходу за допомогою нав'язливих спливаючих вікон. Подвійне розгортання дозволяє зловмисникам підтримувати постійний несанкціонований доступ, одночасно монетизуючи інфекцію в режимі реального часу.
Ця кампанія підкреслює зростаючу тенденцію до доставки кількох корисних навантажень, де зловмисники максимізують операційну ефективність та фінансову віддачу від однієї компрометації.
Зміст
Тактика заплутування: приховування корисного навантаження
Завантажувач, що лежить в основі цієї кампанії, розроблений для прихованої роботи. Він вбудовує два зашифровані корисні навантаження в розділ ресурсів, використовуючи методи обфускації, щоб обійти традиційні механізми виявлення.
Виконання починається з модуля рекламного ПЗ CloverPlus, який ідентифікується як AdWare.Win32.CloverPlus та пов'язаний з виконуваним файлом під назвою wiseman.exe. Цей компонент змінює налаштування запуску браузера та вставляє постійні спливаючі рекламні вікна.
Після цього завантажувач оцінює шлях виконання. Якщо він не працює з каталогу %temp% системи, він створює там свою копію, перш ніж продовжити. Наступний етап включає розшифрування клієнтського модуля Gh0st RAT, який також прихований як зашифрований ресурс у бінарному файлі шкідливого програмного забезпечення.
Після розшифрування шкідливе програмне забезпечення призначає випадкове ім'я файлу корисному навантаженню та зберігає його у випадково названій папці, розташованій у кореневому каталозі диска C:\, що ще більше ускладнює виявлення та аналіз.
Життя за рахунок землі: надійні інструменти, злий намір
Для виконання розшифрованого корисного навантаження шкідливе програмне забезпечення використовує легітимну утиліту Windows rundll32.exe. Такий підхід дозволяє виконувати шкідливий код під виглядом надійного системного процесу, що значно знижує ймовірність спрацьовування засобів безпеки.
Після активації Gh0st RAT починає профілювати скомпрометовану систему, збираючи унікальні ідентифікатори, такі як MAC-адреса та серійний номер жорсткого диска. Ці дані використовуються для реєстрації жертви в інфраструктурі командування та управління зловмисника, забезпечуючи точне відстеження та управління зараженими хостами.
Механізми збереження: забезпечення довгострокового доступу
Збереження доступу після перезавантаження системи є ключовою метою цієї кампанії. Gh0st RAT досягає збереження доступу за допомогою кількох методів, вбудованих глибоко в операційну систему:
Зміна розділу реєстру Windows «Виконати» для забезпечення автоматичного виконання під час запуску системи
Реєстрація шкідливої DLL-бібліотеки в шляху служби віддаленого доступу в SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Ці методи надають шкідливому програмному забезпеченню привілеї рівня СИСТЕМИ щоразу, коли запускається пов'язана служба, що усуває необхідність подальшої взаємодії з користувачем та посилює довгостроковий контроль.
Виявлення та захист: ознаки компрометації
Вплив цієї кампанії є значним як для окремих осіб, так і для організацій. Хоча рекламний компонент порушує функціональність браузера та збільшує ризики зіткнення зі шкідливою рекламою, компонент RAT дозволяє крадіжку даних, реєстрацію натискань клавіш, обхід безпеки та постійний привілейований доступ.
Служби безпеки повинні залишатися пильними та стежити за такими ознаками компрометації:
- Виконання rundll32.exe, що завантажує DLL-файли або нестандартні розширення файлів з незвичайних або підозрілих каталогів
- Активність процесу, що походить з папки %temp%
- Несанкціоновані зміни до ключів запуску реєстру або конфігурацій служби віддаленого доступу
- Використання затримок на основі пінгу для уникнення виявлення в пісочниці
- Аномальні моделі DNS-трафіку та неочікувані зміни у системному файлі hosts
Проактивний моніторинг та швидке реагування на ці сигнали мають вирішальне значення для зменшення ризиків, що виникають через цю складну кампанію зловмисного програмного забезпечення з подвійною загрозою.
