Phần mềm độc hại PLAYFULGHOST
Các chuyên gia an ninh mạng đã xác định được một mối đe dọa mới nổi có tên là PLAYFULGHOST, một cửa hậu được trang bị nhiều chức năng thu thập thông tin. Bao gồm keylogging, chụp màn hình và âm thanh, truy cập shell từ xa và khả năng truyền tệp hoặc thực thi.
Mục lục
Kết nối với Gh0st RAT
PLAYFULGHOST có những điểm tương đồng về mặt chức năng với Gh0st RAT , một công cụ quản trị từ xa nổi tiếng được sử dụng rộng rãi sau khi mã nguồn của nó bị rò rỉ vào năm 2008. Điều này cho thấy rằng những kẻ đe dọa đứng sau PLAYFULGHOST có thể đã xây dựng trên nền tảng của công cụ cũ hơn trong khi đưa ra những cải tiến để mở rộng khả năng của nó.
Các vectơ lây nhiễm ban đầu
Những kẻ đe dọa đằng sau PLAYFULGHOST sử dụng nhiều kỹ thuật để có được quyền truy cập ban đầu vào các hệ thống mục tiêu. Chúng bao gồm các chiến dịch lừa đảo tận dụng các chủ đề liên quan đến quy tắc ứng xử và chiến thuật đầu độc SEO để phân phối các phiên bản trojan của các ứng dụng VPN hợp pháp như LetsVPN.
Trong một kịch bản tấn công lừa đảo, nạn nhân bị lừa mở một tệp RAR bị hỏng ngụy trang thành tệp hình ảnh bằng cách sử dụng phần mở rộng '.jpg' gây hiểu lầm. Khi được giải nén và thực thi, tệp lưu trữ sẽ thả một tệp thực thi Windows có hại, sau đó truy xuất và khởi chạy PLAYFULGHOST từ một máy chủ từ xa.
Mặt khác, SEO poisoning được sử dụng để dụ người dùng không nghi ngờ tải xuống trình cài đặt LetsVPN bị xâm phạm. Khi thực thi, trình cài đặt này triển khai một payload trung gian, tải và kích hoạt các thành phần cốt lõi của backdoor.
Chiến thuật né tránh và thực hiện nâng cao
PLAYFULGHOST dựa vào nhiều kỹ thuật ẩn khác nhau để chạy trốn khỏi sự phát hiện và thiết lập chỗ đứng trên các hệ thống bị xâm phạm. Chúng bao gồm DLL search order hijacking và DLL sideloading để đưa vào một DLL bị xâm phạm, sau đó giải mã và đưa backdoor vào bộ nhớ.
Trong một phương pháp thực thi phức tạp hơn, các nhà nghiên cứu đã quan sát việc sử dụng tệp phím tắt Windows ('QQLaunch.lnk'), kết hợp hai tệp bổ sung ('h' và 't') để tạo ra một DLL giả mạo. DLL này được tải phụ thông qua phiên bản được đổi tên của 'curl.exe', đảm bảo triển khai bí mật cửa sau.
Sự bền bỉ và thu thập dữ liệu
Sau khi cài đặt, PLAYFULGHOST thiết lập sự tồn tại dai dẳng trên hệ thống bị nhiễm bằng nhiều kỹ thuật. Bao gồm sửa đổi sổ đăng ký Windows (phím Run), tạo các tác vụ theo lịch trình, thêm mục vào thư mục Khởi động Windows và đăng ký làm dịch vụ Windows.
Khả năng của backdoor cho phép nó thu thập một loạt thông tin nhạy cảm, bao gồm các lần nhấn phím, ảnh chụp màn hình, bản ghi âm, dữ liệu clipboard, thông tin chi tiết về phần mềm bảo mật đã cài đặt, siêu dữ liệu hệ thống và thông tin đăng nhập tài khoản QQ. Ngoài ra, nó có thể thực hiện các lệnh để phá vỡ tương tác của người dùng bằng cách chặn đầu vào bàn phím và chuột, can thiệp vào nhật ký sự kiện và xóa nội dung clipboard.
PLAYFULGHOST cũng thể hiện khả năng thao tác tệp, cho phép xóa bộ nhớ đệm trình duyệt và hồ sơ khỏi các ứng dụng như Sogou, QQ, 360 Safety, Firefox và Google Chrome. Nó có thể xóa thêm hồ sơ và bộ nhớ cục bộ liên quan đến các nền tảng nhắn tin như Skype, Telegram và QQ.
Triển khai các công cụ bổ sung
Bên cạnh PLAYFULGHOST, các tác nhân đe dọa đã được quan sát thấy triển khai các công cụ bổ sung để củng cố quyền kiểm soát của chúng đối với các hệ thống bị nhiễm. Trong số này có Mimikatz , một công cụ đổ thông tin xác thực nổi tiếng và một rootkit được thiết kế để che giấu các mục đăng ký, tệp và quy trình cụ thể. Ngoài ra, một tiện ích nguồn mở có tên là Terminator được giới thiệu để vô hiệu hóa các cơ chế bảo mật thông qua kỹ thuật Bring Your Own Vulnerable Driver (BYOVD).
Trong ít nhất một trường hợp, PLAYFULGHOST đã được nhúng trong BOOSTWAVE, một trình thả mã lệnh trong bộ nhớ dựa trên shellcode giúp triển khai các tải trọng Portable Executable (PE) được thêm vào.
Một mục tiêu nhân khẩu học có thể
Việc tập trung vào các ứng dụng như Sogou, QQ và 360 Safety, kết hợp với việc sử dụng LetsVPN như một mồi nhử, cho thấy chiến dịch này chủ yếu nhắm vào người dùng Windows nói tiếng Trung. Tuy nhiên, khả năng tiên tiến của PLAYFULGHOST cho thấy tiềm năng khai thác rộng hơn ngoài nhóm nhân khẩu học cụ thể này.
