En ny variant af den berygtede "Gh0st RAT" malware er blevet identificeret i de seneste angreb rettet mod sydkoreanere og udenrigsministeriet i Usbekistan.
Den kinesiske gruppe "C.Rufus Security Team" først udgivet Gh0st RAT på det åbne web i marts 2008. Bemærkelsesværdigt er det stadig i brug i dag, især i og omkring Kina, omend i ændrede former.
Siden slutningen af august, for eksempel, har en gruppe med stærke kinesiske forbindelser distribueret en modificeret Gh0st RAT kaldet "SugarGh0st RAT." Ifølge forskning fra Cisco Talos, dropper denne trusselsaktør varianten via JavaScript-snøret Windows-genveje, mens han distraherer mål med tilpassede lokkedokumenter.
Selve malwaren er stadig stort set det samme, effektive værktøj, som den nogensinde har været, selvom den nu har nogle nye mærkater, der hjælper med at snige sig forbi antivirussoftware.
SugarGh0st RAT's fælder
De fire prøver af SugarGh0st, sandsynligvis leveret via phishing, ankommer på målrettede maskiner som arkiver indlejret med Windows LNK-genvejsfiler. LNK'erne skjuler ondsindet JavaScript, som ved åbningen taber et lokkedokument - målrettet mod koreanske eller usbekiske regeringspublikum - og nyttelasten.
Ligesom dens stamfader - den kinesiske fjernadgangstrojaner, som først blev udgivet til offentligheden i marts 2008 - er SugarGh0st en ren, multiværktøjsspionagemaskine. Et 32-bit dynamisk linkbibliotek (DLL) skrevet i C++, det begynder med at indsamle systemdata og åbner derefter døren til fuld fjernadgang.
Angribere kan bruge SugarGh0st til at hente enhver information, de måtte ønske om deres kompromitterede maskine, eller starte, afslutte eller slette de processer, den kører. De kan bruge det til at finde, eksfiltrere og slette filer og slette eventuelle hændelseslogfiler for at maskere de resulterende retsmedicinske beviser. Bagdøren er udstyret med en keylogger, et skærmbillede, et middel til at få adgang til enhedens kamera og masser af andre nyttige funktioner til at manipulere musen, udføre native Windows-operationer eller blot køre vilkårlige kommandoer.
"Det, der bekymrer mig mest, er, hvordan det er specifikt designet til at omgå tidligere detektionsmetoder," siger Nick Biasini, Cisco Talos' outreach-chef. Med denne nye variant, specifikt, "anstrengte de sig for at gøre ting, der ville ændre den måde, som kernedetektion ville fungere på."
Det er ikke sådan, at SugarGh0st har nogen særligt nye undvigelsesmekanismer. Mindre æstetiske ændringer får det snarere til at se anderledes ud end tidligere varianter, såsom at ændre kommando-og-kontrol-kommunikationsprotokollen (C2), således at netværkspakkehovederne i stedet for 5 bytes reserverer de første 8 bytes som magiske bytes (en liste over filsignaturer, bruges til at bekræfte en fils indhold). "Det er bare en meget effektiv måde at forsøge at sikre, at dit eksisterende sikkerhedsværktøj ikke kommer til at opfange dette med det samme," siger Biasini.
Gh0st RAT's gamle tilholdssteder
Tilbage i september 2008 henvendte Dalai Lamas kontor sig til en sikkerhedsforsker (nej, dette er ikke begyndelsen på en dårlig joke).
Dets ansatte blev fyldt med phishing-e-mails. Microsoft-applikationer styrtede ned uden forklaring på tværs af organisationen. En munk mindes at se sin computer åbne Microsoft Outlook helt af sig selv, vedhæfte dokumenter til en e-mail og sende den e-mail til en ikke-genkendt adresse, alt sammen uden hans input.
En Gh0st RAT betamodels engelsksprogede brugergrænseflade. Kilde: Trend Micro EU via Wayback Machine
Den trojanske, der blev brugt i den kinesiske militær-forbundne kampagne mod tibetanske munke, har bestået tidens prøve, siger Biasini, af et par grunde.
"Open source malware-familier lever længe, fordi aktører får et fuldt funktionelt stykke malware, som de kan manipulere, som de finder passende. Det giver også folk, der ikke ved, hvordan man skriver malware til udnytte disse ting gratis, ”Forklarer han.
Gh0st RAT, tilføjer han, skiller sig især ud som "en meget funktionel, meget velbygget RAT."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea
- :har
- :er
- $OP
- 2008
- 7
- 8
- a
- Om
- adgang
- Adgang
- tværs
- aktører
- adresse
- Tilføjer
- æstetisk
- Anliggender
- mod
- Alle
- tillader
- også
- an
- ,
- antivirus
- enhver
- vises
- applikationer
- arkiv
- omkring
- AS
- vedhæfte
- Angreb
- høringer
- AUGUST
- væk
- bagdør
- Bad
- fordi
- været
- Begyndelse
- være
- beta
- by
- C + +
- værelse
- Kampagne
- CAN
- kapaciteter
- lave om
- Ændringer
- skiftende
- Kina
- kinesisk
- Cisco
- ren
- Indsamling
- kommer
- Kommunikation
- Kompromitteret
- computer
- vedrørende
- Bekræfte
- indhold
- Core
- Crashing
- tilpassede
- Cyber
- data
- mærkater
- anses
- leveret
- konstrueret
- ønske
- Detektion
- enhed
- forskellige
- distribution
- do
- dokumentet
- dokumenter
- Don
- Ved
- Drops
- dynamisk
- Effektiv
- indsats
- emails
- indlejret
- medarbejdere
- Engelsk
- spionage
- EU
- Unddrage
- unddragelse
- begivenhed
- NOGENSINDE
- bevismateriale
- eksisterende
- Forklarer
- forklaring
- familier
- få
- File (Felt)
- Filer
- Finde
- Fornavn
- passer
- Til
- udenlandsk
- Forensic
- fire
- fra
- fuld
- fuldt ud
- funktionel
- funktioner
- få
- Global
- gå
- Regering
- gruppe
- he
- hoved
- headers
- hjælpe
- Skjule
- hans
- Hvordan
- How To
- HTML
- http
- HTTPS
- identificeret
- billede
- in
- berygtede
- oplysninger
- indgang
- instans
- i stedet
- isn
- IT
- ITS
- selv
- JavaScript
- lige
- Kend
- koreansk
- Sprog
- vid udstrækning
- Sent
- Bibliotek
- Sandsynlig
- LINK
- links
- Liste
- leve
- Lang
- maskine
- Maskiner
- Magic
- lave
- malware
- manipulere
- Marts
- maske
- me
- midler
- mekanismer
- metoder
- mikro
- microsoft
- måske
- ministerium
- mindre
- model
- modificeret
- mest
- indfødte
- netværk
- Ny
- Nick
- ingen
- roman
- nu
- of
- Office
- Gammel
- on
- ONE
- åbent
- open source
- åbning
- åbner
- drift
- or
- organisation
- oprindelse
- Andet
- ud
- Outlook
- opsøgende
- egen
- særlig
- især
- forbi
- Mennesker
- udfører
- Phishing
- pick
- stykke
- plato
- Platon Data Intelligence
- PlatoData
- Masser
- tidligere
- Forud
- Processer
- protokol
- offentlige
- ROTTE
- hellere
- årsager
- nylige
- frigivet
- fjern
- Remote Access
- forskning
- forsker
- Reserve
- resulterer
- højre
- kører
- s
- samme
- siger
- sikkerhed
- se
- send
- september
- Underskrifter
- ganske enkelt
- snige
- Software
- nogle
- Kilde
- Syd
- specifikt
- Sport
- står
- starte
- Stadig
- stærk
- sådan
- sikker
- systemet
- Talos
- målrettet
- rettet mod
- mål
- hold
- prøve
- at
- deres
- derefter
- de
- ting
- ting
- denne
- selvom?
- trussel
- tid
- til
- i dag
- tog
- værktøj
- Trend
- Trojan
- prøv
- ui
- på
- brug
- anvendte
- usbekiske
- Usbekistan
- Variant
- meget
- via
- ser
- Vej..
- var
- som
- mens
- WHO
- vinduer
- med
- uden
- Arbejde
- ville
- skriver
- skriftlig
- Din
- zephyrnet
