GHOSTFORM RAT
GHOSTFORM 是一款基於 .NET 的遠端存取木馬 (RAT),它將多種惡意功能整合到一個可執行二進位檔案中。該惡意軟體直接在記憶體中執行 PowerShell 腳本,從而降低了被傳統安全工具偵測到的可能性。為了進一步規避安全機制,它還採用了諸如隱形 Windows 窗體和延遲執行計時器等技術。由於其隱蔽性和強大的功能,一旦偵測到 GHOSTFORM,就應立即啟動清除和事件回應程序。
目錄
攻擊鏈一:多階段惡意軟體部署
第一條攻擊鏈始於發送一個受密碼保護的 RAR 壓縮包,其中包含一個偽裝成 WinRAR 的虛假應用程式。當受害者開啟該壓縮包時,一個名為 SPLITDROP 的投放器會被執行。該投放器會安裝兩個額外的惡意軟體元件:TWINTASK 和 TWINTALK。
SPLITDROP 首先會向受害者索取密碼以提取隱藏的壓縮檔案。如果系統中已存在該壓縮文件,則執行停止。否則,程式會在背景解密嵌入的有效載荷,同時向使用者顯示一條欺騙性的錯誤訊息。解密後的內容儲存在「C:\ProgramData\PolGuid」目錄中,之後會啟動一個名為 VLC.exe 的合法執行檔以推進攻擊。
VLC.exe 執行後,會透過 DLL 側載入載入一個名為 TWINTASK 的惡意動態連結程式庫。這個元件會等待攻擊者的指令,並使用 PowerShell 執行這些指令。攻擊者會專門使用多個指令來建立系統內的持久性,並啟動下一階段的攻擊。在此過程中,腳本會啟動 WingetUI.exe,並建立登錄項,以確保 VLC.exe 和 WingetUI.exe 在系統重新啟動時會自動執行。
Twintalk 和 TwinTask:協同指令執行
WingetUI.exe 執行時,會載入另一個名為 TWINTALK 的惡意模組。此元件連接到攻擊者的命令與控制伺服器並取得指令。 TWINTALK 與 TWINTASK 協同工作,在受感染的電腦上執行命令。
Twintalk 支援三種主要指令類別:
- 在受感染設備上執行指令
- 從攻擊者的基礎設施下載文件
- 從被入侵的系統上傳到攻擊者文件
透過這些能力,攻擊者可以對受感染的環境進行廣泛的控制。
攻擊鏈二:直接幽靈型態處決
第二條攻擊鏈利用 GHOSTFORM 本身來執行第一條攻擊鏈中由多個元件處理的所有功能。與部署多個檔案或依賴 DLL 側載入不同,此變種直接在記憶體中執行 PowerShell 命令。
為了不被偵測到,該惡意軟體會建立一個不可見的 Windows 窗體,在有效載荷運行前延遲其執行。此外,該攻擊活動還利用 Google 表單作為社交工程誘餌,誘導受害者發動惡意活動。
規避和持續作戰技巧
GHOSTFORM 整合了多種機制,旨在降低被偵測的可能性,並維持對受感染系統的長期存取權限。該惡意軟體會故意延遲其活動,方法是產生一個幾乎不可見的 Windows 窗體,該窗體運行隨機延遲的計時器,然後再繼續執行。
它還會創建一個互斥鎖,以確保系統中只有一個惡意軟體實例運行,並產生一個唯一的殭屍網路識別碼來追蹤受感染的機器。這類遠端存取木馬通常用於部署其他有效載荷、竊取敏感資料和文件,或在受害者環境中執行其他惡意操作。
此戰役通常具備的關鍵能力包括:
- 部署額外的惡意軟體負載
- 從受感染的設備中竊取資訊和文件
- 透過 PowerShell 執行遠端命令
- 在受損系統中長期持續存在
ClickFix 社會工程:以人為中心的感染途徑
該攻擊活動並非僅僅依賴惡意軟體傳播,它還利用了一種名為ClickFix的社會工程學技術來入侵系統。攻擊者會創建極具迷惑性的虛假網頁,誘騙用戶執行惡意指令。
例如,偽造的思科Webex會議邀請或看似合法的詐騙網頁表單。受害者被指示運行命令,這些命令會自動下載並執行惡意軟體,從而在不知情的情況下啟動入侵程式。
惡意軟體與欺騙的結合
這次攻擊活動展現了一種協同策略,它將惡意軟體部署技術與心理操控結合。攻擊者散佈偽裝成看似無害程式(例如 WinRAR 工具)的惡意檔案。一旦打開這些文件,隱藏的惡意軟體元件就會被注入到作業系統中。
安裝完成後,其中一個元件會在背景靜默執行,定期檢查攻擊者伺服器上的加密指令,並透過 PowerShell 執行這些指令。同時,ClickFix 式攻擊會利用虛假調查、欺騙性會議邀請或欺詐性線上表單,誘騙用戶執行觸發惡意軟體下載的命令。
透過將 TWINTASK、TWINTALK 和 GHOSTFORM 等高階惡意軟體工具與精心設計的社會工程技術結合,威脅行為者可以顯著提高系統入侵的成功率,並持續遠端控制受感染的裝置。
