GHOSTFORM RAT

GHOSTFORM 是一款基于 .NET 的远程访问木马 (RAT)，它将多种恶意功能集成到一个可执行二进制文件中。该恶意软件直接在内存中执行 PowerShell 脚本，从而降低了被传统安全工具检测到的可能性。为了进一步规避安全机制，它还采用了诸如隐形 Windows 窗体和延迟执行计时器等技术。由于其隐蔽性和强大的功能，一旦检测到 GHOSTFORM，就应立即启动清除和事件响应程序。

攻击链一：多阶段恶意软件部署

第一条攻击链始于发送一个受密码保护的 RAR 压缩包，其中包含一个伪装成 WinRAR 的虚假应用程序。当受害者打开该压缩包时，一个名为 SPLITDROP 的投放器会被执行。该投放器会安装两个额外的恶意软件组件：TWINTASK 和 TWINTALK。

SPLITDROP 首先会向受害者索要密码以提取隐藏的压缩文件。如果系统中已存在该压缩文件，则执行停止。否则，程序会在后台解密嵌入的有效载荷，同时向用户显示一条欺骗性的错误信息。解密后的内容存储在“C:\ProgramData\PolGuid”目录中，之后会启动一个名为 VLC.exe 的合法可执行文件以推进攻击。

VLC.exe 执行后，会通过 DLL 侧加载加载一个名为 TWINTASK 的恶意动态链接库。该组件会等待攻击者的指令，并使用 PowerShell 执行这些指令。攻击者会专门使用多个命令来建立系统内的持久性，并启动下一阶段的攻击。在此过程中，一个脚本会启动 WingetUI.exe，并创建注册表项，以确保 VLC.exe 和 WingetUI.exe 在系统重启时自动运行。

Twintalk 和 TwinTask：协同命令执行

WingetUI.exe 执行时，会加载另一个名为 TWINTALK 的恶意模块。该组件连接到攻击者的命令与控制服务器并获取指令。TWINTALK 与 TWINTASK 协同工作，在受感染的计算机上执行命令。

Twintalk 支持三种主要命令类别：

• 在受感染设备上执行命令
• 从攻击者的基础架构下载文件
• 从被入侵的系统向攻击者上传文件

通过这些能力，攻击者可以对受感染的环境进行广泛的控制。

攻击链二：直接幽灵形态处决

第二条攻击链利用 GHOSTFORM 本身来执行第一条攻击链中由多个组件处理的所有功能。与部署多个文件或依赖 DLL 侧加载不同，此变种直接在内存中执行 PowerShell 命令。

为了不被检测到，该恶意软件会创建一个不可见的 Windows 窗体，在有效载荷运行前延迟其执行。此外，该攻击活动还利用 Google 表单作为社交工程诱饵，诱导受害者发起恶意活动。

规避和持续作战技巧

GHOSTFORM 集成了多种机制，旨在降低被检测的可能性，并维持对受感染系统的长期访问权限。该恶意软件会故意延迟其活动，方法是生成一个几乎不可见的 Windows 窗体，该窗体运行一个随机延迟的计时器，然后再继续执行。

它还会创建一个互斥锁，以确保系统中只有一个恶意软件实例运行，并生成一个唯一的僵尸网络标识符来追踪受感染的机器。这类远程访问木马通常用于部署其他有效载荷、窃取敏感数据和文件，或在受害者环境中执行其他恶意操作。

该战役通常具备的关键能力包括：

• 部署额外的恶意软件载荷
• 从受感染的设备中窃取信息和文件
• 通过 PowerShell 执行远程命令
• 在受损系统中长期持续存在

ClickFix 社会工程：以人为中心的感染途径

该攻击活动并非仅仅依赖恶意软件传播，它还利用了一种名为ClickFix的社会工程学技术来入侵系统。攻击者会创建极具迷惑性的虚假网页，诱骗用户执行恶意指令。

例如，伪造的思科Webex会议邀请或看似合法的欺诈性网页表单。受害者被指示运行命令，这些命令会自动下载并执行恶意软件，从而在不知情的情况下启动入侵程序。

恶意软件与欺骗的结合

此次攻击活动展现了一种协同策略，它将恶意软件部署技术与心理操控相结合。攻击者散布伪装成看似无害程序（例如 WinRAR 工具）的恶意文件。一旦打开这些文件，隐藏的恶意软件组件就会被注入到操作系统中。

安装完成后，其中一个组件会在后台静默运行，定期检查攻击者服务器上的加密指令，并通过 PowerShell 执行这些指令。与此同时，ClickFix 式攻击会利用虚假调查、欺骗性会议邀请或欺诈性在线表单，诱骗用户执行触发恶意软件下载的命令。

通过将 TWINTASK、TWINTALK 和 GHOSTFORM 等高级恶意软件工具与精心设计的社会工程技术相结合，威胁行为者可以显著提高系统入侵的成功率，并持续远程控制受感染的设备。