Uus, õudsem Gh0st RAT pahavara kummitab ülemaailmseid kübersihtmärke

Usbekistani lõunakorealastele ja välisministeeriumile suunatud hiljutiste rünnakute käigus tuvastati kurikuulsa pahavara "Gh0st RAT" uus variant.

Hiina rühmitus "C.Rufuse turvameeskond" esmakordselt avaldatud Gh0st RAT avatud veebis märtsil 2008. Märkimisväärne on see, et see on endiselt kasutusel, eriti Hiinas ja selle ümbruses, kuigi muudetud kujul.

Näiteks alates augusti lõpust on Hiina tugevate sidemetega grupp levitanud modifitseeritud Gh0st RAT-i, mida nimetatakse "SugarGh0st RATiks". Vastavalt Cisco Talose uuringutele, loobub see ohustaja variandist JavaScriptiga varustatud Windowsi otseteede kaudu, samal ajal häirides sihtmärke kohandatud peibutusdokumentidega.

Pahavara ise on endiselt suures osas sama tõhus tööriist, mis on kunagi olnud, kuigi nüüd on sellel mõned uued kleebised, mis aitavad viirusetõrjetarkvarast mööda hiilida.

SugarGh0st RATi püünised

Neli SugarGh0st näidist, mis tarnitakse tõenäoliselt andmepüügi kaudu, jõuavad sihitud masinatesse arhiividena, mis on manustatud Windowsi LNK otseteefailidega. LNK-d peidavad pahatahtlikku JavaScripti, mis avamisel jätab maha peibutusdokumendi, mis on suunatud Korea või Usbekistani valitsusele, ja kasuliku koormuse.

Sarnaselt selle eellasele – Hiina päritolu kaugjuurdepääsuga troojalasele, mis avaldati esmakordselt 2008. aasta märtsis – on SugarGh0st puhas, mitme tööriistaga spionaažimasin. 32-bitine dünaamiline lingiteek (DLL), mis on kirjutatud C++ keeles, alustab süsteemiandmete kogumisega, seejärel avab ukse täielikele kaugjuurdepääsu võimalustele.

Ründajad saavad kasutada SugarGh0st, et hankida oma ohustatud masina kohta teavet, mida nad võivad soovida, või käivitada, lõpetada või kustutada selles töötavaid protsesse. Nad saavad seda kasutada failide otsimiseks, väljafiltreerimiseks ja kustutamiseks ning sündmuste logide kustutamiseks, et maskeerida saadud kohtuekspertiisi tõendeid. Tagauks on varustatud klahvilogija, ekraanipiltja, seadme kaamerale juurdepääsu vahendiga ja paljude muude kasulike funktsioonidega hiirega manipuleerimiseks, Windowsi natiivseks toimimiseks või lihtsalt suvaliste käskude käivitamiseks.

"Minu jaoks teeb kõige rohkem muret see, kuidas see on spetsiaalselt ette nähtud varasematest tuvastamismeetoditest kõrvalehoidmiseks," ütleb Cisco Talose teavitusosakonna juht Nick Biasini. Täpsemalt, selle uue variandiga „võtsid nad vaeva, et teha asju, mis muudaksid põhituvastuse toimimist”.

Asi pole selles, et SugarGh0stil oleks mingeid eriti uudseid kõrvalehoidmismehhanisme. Pigem muudavad väikesed esteetilised muudatused selle varasematest variantidest erinevaks, nagu näiteks käsu ja juhtimise (C2) sideprotokolli muutmine nii, et 5 baidi asemel reserveerivad võrgupaketi päised esimesed 8 baiti võlubaitidena (loend faili allkirjad, mida kasutatakse faili sisu kinnitamiseks). "See on lihtsalt väga tõhus viis veenduda, et teie olemasolevad turbetööriistad seda kohe ei kasutaks," ütleb Biasini.

Gh0st RATi vanad kummitused

2008. aasta septembris pöördus dalai-laama büroo julgeolekuteadlase poole (ei, see pole halva nalja algus).

Selle töötajaid tulvil andmepüügimeilidega. Microsofti rakendused jooksid ilma selgituseta kogu organisatsioonis kokku. Üks munk meenutada vaatab, kuidas tema arvuti avab Microsoft Outlooki iseseisvalt, lisab meilile dokumente ja saadab selle meili tundmatule aadressile, kõike seda ilma tema sisendita.

Gh0st RAT beetamudeli ingliskeelne kasutajaliides. Allikas: Trend Micro EU Wayback Machine kaudu

Biasini sõnul on Hiina sõjaväega seotud kampaanias Tiibeti munkade vastu kasutatud troojalane mõnel põhjusel ajaproovile vastu pidanud.

"Avatud lähtekoodiga pahavarapered elavad kaua, sest näitlejad saavad täielikult toimiva pahavara, mida nad saavad oma äranägemise järgi manipuleerida. See võimaldab ka inimestel, kes ei tea, kuidas pahavara kirjutada kasutage seda kraami tasuta, ”Selgitab ta.

Ta lisab, et Gh0st RAT paistab eriti silma kui "väga funktsionaalne, väga hästi ehitatud RAT".

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea