GHOSTFORM RAT
GHOSTFORM là một phần mềm độc hại truy cập từ xa (RAT) dựa trên .NET được thiết kế để kết hợp nhiều khả năng độc hại vào một tệp nhị phân thực thi duy nhất. Phần mềm độc hại này thực thi các tập lệnh PowerShell trực tiếp trong bộ nhớ, làm giảm khả năng bị phát hiện bởi các công cụ bảo mật truyền thống. Để né tránh các cơ chế bảo mật hơn nữa, nó sử dụng các kỹ thuật như các biểu mẫu Windows ẩn và bộ hẹn giờ thực thi trì hoãn. Do hành vi lén lút và khả năng rộng lớn của nó, bất kỳ sự phát hiện nào về GHOSTFORM đều cần phải dẫn đến việc loại bỏ ngay lập tức và các quy trình xử lý sự cố.
Mục lục
Chuỗi tấn công thứ nhất: Triển khai phần mềm độc hại nhiều giai đoạn
Chuỗi tấn công đầu tiên bắt đầu bằng việc gửi một tập tin RAR được bảo vệ bằng mật khẩu, bên trong chứa một ứng dụng giả mạo được thiết kế giống với WinRAR. Khi nạn nhân mở tập tin, một chương trình phát tán phần mềm độc hại có tên SPLITDROP sẽ được thực thi. Chương trình này sẽ cài đặt thêm hai thành phần phần mềm độc hại khác: TWINTASK và TWINTALK.
Ban đầu, SPLITDROP yêu cầu nạn nhân nhập mật khẩu để giải nén một tệp tin ẩn. Nếu tệp tin đã có sẵn trên hệ thống, quá trình thực thi sẽ dừng lại. Nếu không, phần mềm độc hại sẽ giải mã một nội dung được nhúng ngầm trong khi hiển thị một thông báo lỗi gây hiểu nhầm cho người dùng. Nội dung đã giải mã được lưu trữ trong thư mục 'C:\ProgramData\PolGuid', sau đó một tệp thực thi hợp pháp có tên VLC.exe sẽ được khởi chạy để tiếp tục cuộc tấn công.
Sau khi được thực thi, VLC.exe tải một thư viện liên kết động độc hại có tên TWINTASK thông qua phương pháp tải DLL từ bên ngoài. Thành phần này chờ đợi các chỉ thị từ kẻ tấn công và thực thi chúng bằng PowerShell. Một số lệnh cụ thể được sử dụng để thiết lập khả năng duy trì hoạt động trong hệ thống và bắt đầu giai đoạn tiếp theo của quá trình xâm nhập. Là một phần của quá trình này, một tập lệnh khởi chạy WingetUI.exe và tạo các mục đăng ký đảm bảo rằng cả VLC.exe và WingetUI.exe tự động chạy mỗi khi hệ thống khởi động lại.
TWINTALK và TWINTASK: Thực thi lệnh phối hợp
Khi WingetUI.exe được thực thi, nó sẽ tải một mô-đun độc hại khác có tên là TWINTALK. Thành phần này kết nối với máy chủ điều khiển của kẻ tấn công và lấy các chỉ thị. TWINTALK hoạt động cùng với TWINTASK để thực thi các lệnh trên máy tính bị xâm nhập.
TWINTALK hỗ trợ ba loại lệnh chính:
- Thực thi lệnh trên thiết bị bị nhiễm
- Tải xuống tập tin từ cơ sở hạ tầng của kẻ tấn công
- Tải tập tin từ hệ thống bị xâm nhập lên máy chủ tấn công.
Nhờ những khả năng này, kẻ tấn công có được quyền kiểm soát rộng rãi đối với môi trường bị nhiễm.
Chuỗi tấn công thứ hai: Thực thi GHOSTFORM trực tiếp
Chuỗi tấn công thứ hai sử dụng chính GHOSTFORM để thực hiện tất cả các chức năng được xử lý bởi nhiều thành phần trong chuỗi đầu tiên. Thay vì triển khai nhiều tập tin hoặc dựa vào việc tải DLL từ bên ngoài, biến thể này thực thi các lệnh PowerShell trực tiếp trong bộ nhớ.
Để không bị phát hiện, phần mềm độc hại tạo ra một cửa sổ Windows ẩn, trì hoãn quá trình thực thi trước khi mã độc chạy. Ngoài ra, chiến dịch này sử dụng Google Forms như một phần của chiêu trò lừa đảo xã hội nhằm khuyến khích nạn nhân thực hiện các hoạt động độc hại.
Kỹ thuật né tránh và kiên trì
GHOSTFORM tích hợp nhiều cơ chế được thiết kế để giảm thiểu khả năng bị phát hiện và duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập. Phần mềm độc hại này cố tình trì hoãn hoạt động của nó bằng cách tạo ra một cửa sổ Windows gần như vô hình, chạy một bộ hẹn giờ với độ trễ được xác định ngẫu nhiên trước khi tiếp tục thực thi.
Nó cũng tạo ra một mutex để đảm bảo chỉ có một phiên bản phần mềm độc hại chạy trên hệ thống và tạo ra một mã định danh bot duy nhất để theo dõi các máy bị nhiễm. Trojan truy cập từ xa loại này thường được sử dụng để triển khai thêm các payload, đánh cắp dữ liệu và tập tin nhạy cảm hoặc thực hiện các hoạt động độc hại khác trong môi trường của nạn nhân.
Các khả năng chính thường được liên kết với chiến dịch này bao gồm:
- Triển khai thêm các phần mềm độc hại.
- Đánh cắp thông tin và tập tin từ các thiết bị bị nhiễm virus.
- Thực thi lệnh từ xa thông qua PowerShell
- Khả năng tồn tại lâu dài trong các hệ thống bị xâm nhập
ClickFix Social Engineering: Phương thức lây nhiễm nhắm vào con người
Chiến dịch này không chỉ dựa vào việc phát tán phần mềm độc hại. Nó còn kết hợp kỹ thuật tấn công phi kỹ thuật (social engineering) có tên ClickFix để xâm nhập hệ thống. Kẻ tấn công tạo ra các trang web giả mạo rất thuyết phục, được thiết kế để thao túng người dùng thực hiện các lệnh độc hại.
Ví dụ bao gồm các lời mời tham dự cuộc họp Cisco Webex giả mạo hoặc các biểu mẫu web gian lận trông có vẻ hợp pháp. Nạn nhân được hướng dẫn chạy các lệnh tự động tải xuống và thực thi phần mềm độc hại, mà không hề hay biết rằng hệ thống đã bị xâm nhập.
Kết hợp phần mềm độc hại và lừa đảo
Chiến dịch này thể hiện một cách tiếp cận phối hợp, kết hợp việc triển khai phần mềm độc hại về mặt kỹ thuật với thao túng tâm lý. Kẻ tấn công phát tán các tập tin độc hại được ngụy trang thành các chương trình vô hại giống như tiện ích WinRAR. Khi được mở, các tập tin này sẽ tiêm các thành phần phần mềm độc hại ẩn vào hệ điều hành.
Sau khi được cài đặt, một trong các thành phần sẽ chạy ngầm trong nền, định kỳ kiểm tra máy chủ của kẻ tấn công để tìm các lệnh được mã hóa và thực thi chúng thông qua PowerShell. Song song đó, các cuộc tấn công kiểu ClickFix dựa vào các cuộc khảo sát giả mạo, lời mời họp lừa đảo hoặc các biểu mẫu trực tuyến gian lận để thuyết phục người dùng thực hiện các lệnh kích hoạt việc tải xuống phần mềm độc hại.
Bằng cách kết hợp các công cụ phần mềm độc hại tiên tiến như TWINTASK, TWINTALK và GHOSTFORM với các kỹ thuật tấn công phi kỹ thuật được thiết kế tỉ mỉ, các tác nhân đe dọa đã tăng đáng kể tỷ lệ thành công trong việc xâm nhập hệ thống và duy trì quyền kiểm soát từ xa liên tục đối với các thiết bị bị nhiễm.
