GHOSTFORM RAT
GHOSTFORM — це троян віддаленого доступу (RAT) на базі .NET, розроблений для об'єднання кількох шкідливих можливостей в один виконуваний бінарний файл. Шкідливе програмне забезпечення виконує скрипти PowerShell безпосередньо в пам'яті, що зменшує ймовірність виявлення традиційними засобами безпеки. Щоб ще більше обійти механізми безпеки, воно використовує такі методи, як невидимі форми Windows та таймери затримки виконання. Через свою приховану поведінку та широкі можливості, будь-яке виявлення GHOSTFORM має призвести до негайного видалення та реагування на інциденти.
Зміст
Ланцюг атаки перший: багатоетапне розгортання шкідливого програмного забезпечення
Перший ланцюжок атаки починається з доставки захищеного паролем RAR-архіву, що містить підроблений додаток, розроблений під виглядом WinRAR. Коли жертва відкриває архів, виконується програма-дроппер під назвою SPLITDROP. Цей дроппер встановлює два додаткові компоненти шкідливого програмного забезпечення: TWINTASK та TWINTALK.
SPLITDROP спочатку запитує пароль у жертви, щоб розпакувати прихований архів. Якщо архів вже присутній у системі, виконання зупиняється. В іншому випадку, дроппер розшифровує вбудоване корисне навантаження у фоновому режимі, відображаючи користувачеві оманливе повідомлення про помилку. Розшифрований вміст зберігається в каталозі «C:\ProgramData\PolGuid», після чого запускається легітимний виконуваний файл під назвою VLC.exe для просування атаки.
Після виконання VLC.exe завантажує шкідливу динамічну бібліотеку під назвою TWINTASK за допомогою стороннього завантаження DLL. Цей компонент очікує інструкцій від зловмисника та виконує їх за допомогою PowerShell. Кілька команд використовуються спеціально для встановлення постійного доступу в системі та початку наступного етапу компрометації. В рамках цього процесу скрипт запускає WingetUI.exe та створює записи реєстру, що гарантує автоматичний запуск VLC.exe та WingetUI.exe під час перезавантаження системи.
TWINTALK та TWINTASK: Скоординоване виконання команд
Коли WingetUI.exe виконується, він завантажує інший шкідливий модуль, відомий як TWINTALK. Цей компонент підключається до сервера командного контролю зловмисника та отримує інструкції. TWINTALK працює разом з TWINTASK для виконання команд на ураженій машині.
TWINTALK підтримує три основні категорії команд:
- Виконання команди на зараженому пристрої
- Завантаження файлів з інфраструктури зловмисника
- Завантаження файлів зі скомпрометованої системи зловмиснику
Завдяки цим можливостям зловмисники отримують широкий контроль над зараженим середовищем.
Ланцюг атаки другий: пряме виконання GHOSTFORM
Другий ланцюжок атаки використовує сам GHOSTFORM для виконання всіх функцій, що обробляються кількома компонентами в першому ланцюжку. Замість розгортання кількох файлів або покладання на завантаження DLL, цей варіант виконує команди PowerShell безпосередньо в пам'яті.
Щоб залишитися непоміченим, шкідливе програмне забезпечення створює невидиму форму Windows, яка затримує виконання перед запуском корисного навантаження. Крім того, кампанія використовує Google Forms як частину приманки соціальної інженерії, щоб спонукати жертв ініціювати шкідливу діяльність.
Методи ухилення та наполегливості
GHOSTFORM містить кілька механізмів, призначених для зменшення виявлення та підтримки довгострокового доступу до скомпрометованих систем. Шкідливе програмне забезпечення навмисно затримує свою активність, генеруючи майже невидиму форму Windows, яка запускає таймер із випадково визначеною затримкою перед продовженням виконання.
Він також створює м'ютекс, щоб гарантувати, що в системі працює лише один екземпляр шкідливого програмного забезпечення, та генерує унікальний ідентифікатор бота для відстеження заражених машин. Трояни віддаленого доступу цього типу зазвичай використовуються для розгортання додаткових корисних навантажень, крадіжки конфіденційних даних і файлів або виконання інших шкідливих операцій у середовищі жертви.
Ключові можливості, які зазвичай асоціюються з кампанією, включають:
- Розгортання додаткових корисних навантажень шкідливого програмного забезпечення
- Крадіжка інформації та файлів із заражених пристроїв
- Віддалене виконання команд через PowerShell
- Тривале перебування в скомпрометованих системах
Соціальна інженерія ClickFix: вектор зараження, орієнтований на людину
Кампанія не спирається виключно на доставку шкідливого програмного забезпечення. Вона також використовує метод соціальної інженерії, відомий як ClickFix , для компрометації систем. Зловмисники створюють переконливі фальшиві веб-сторінки, призначені для маніпулювання користувачами та змушення їх виконувати шкідливі команди.
Прикладами є підроблені запрошення на зустрічі Cisco Webex або шахрайські веб-форми, які виглядають справжніми. Жертвам доручають виконувати команди, які автоматично завантажують та запускають шкідливе програмне забезпечення, несвідомо ініціюючи компрометацію.
Поєднання шкідливого програмного забезпечення та обману
Ця кампанія демонструє скоординований підхід, який поєднує технічне розгортання шкідливого програмного забезпечення з психологічними маніпуляціями. Зловмисники розповсюджують шкідливі файли, замасковані під нешкідливі програми, що нагадують утиліти WinRAR. Під час відкриття файли впроваджують приховані компоненти шкідливого програмного забезпечення в операційну систему.
Після встановлення один із компонентів працює безшумно у фоновому режимі, періодично перевіряючи сервер зловмисника на наявність зашифрованих інструкцій та виконуючи їх через PowerShell. Паралельно, атаки в стилі ClickFix покладаються на підроблені опитування, оманливі запрошення на зустрічі або шахрайські онлайн-форми, щоб переконати користувачів виконувати команди, що запускають завантаження шкідливого програмного забезпечення.
Поєднуючи передові інструменти захисту від шкідливих програм, такі як TWINTASK, TWINTALK та GHOSTFORM, з ретельно розробленими методами соціальної інженерії, зловмисники значно підвищують рівень успішності компрометації системи та підтримують постійний віддалений контроль над зараженими пристроями.
