एक नया, डरावना Gh0st RAT मैलवेयर वैश्विक साइबर लक्ष्यों को परेशान करता है

एक नया, डरावना Gh0st RAT मैलवेयर वैश्विक साइबर लक्ष्यों को परेशान करता है

समय टिकट: 30 नवंबर, 2023 3:50 बजे

दक्षिण कोरियाई लोगों और उज़्बेकिस्तान में विदेश मंत्रालय को निशाना बनाने वाले हालिया हमलों में कुख्यात "Gh0st RAT" मैलवेयर के एक नए संस्करण की पहचान की गई है।

चीनी समूह "सी.रूफस सुरक्षा दल" पहली बार खुले वेब पर Gh0st RAT जारी किया गया मार्च 2008 में। उल्लेखनीय रूप से, यह आज भी उपयोग में है, विशेषकर चीन और उसके आसपास, यद्यपि संशोधित रूपों में.

उदाहरण के लिए, अगस्त के अंत से, मजबूत चीनी संबंधों वाला एक समूह एक संशोधित Gh0st RAT वितरित कर रहा है जिसे "SugarGh0st RAT" कहा जाता है। सिस्को टैलोस के शोध के अनुसार, यह ख़तरा अभिनेता अनुकूलित डिकॉय दस्तावेज़ों के साथ लक्ष्य को विचलित करते हुए, जावास्क्रिप्ट-लेस विंडोज शॉर्टकट के माध्यम से वेरिएंट को छोड़ देता है।

मैलवेयर अभी भी काफी हद तक वही प्रभावी उपकरण है जो पहले था, हालांकि अब यह एंटीवायरस सॉफ़्टवेयर को छिपाने में मदद करने के लिए कुछ नए डिकल्स को स्पोर्ट करता है।

SugarGh0st RAT के जाल

SugarGh0st के चार नमूने, संभवतः फ़िशिंग के माध्यम से वितरित किए गए, Windows LNK शॉर्टकट फ़ाइलों के साथ एम्बेडेड अभिलेखागार के रूप में लक्षित मशीनों पर पहुंचते हैं। एलएनके दुर्भावनापूर्ण जावास्क्रिप्ट को छिपाते हैं, जिसे खोलने पर, कोरियाई या उज़्बेक सरकार के दर्शकों के लिए लक्षित एक फर्जी दस्तावेज़ और पेलोड गिर जाता है।

अपने पूर्वज की तरह - चीनी मूल का रिमोट एक्सेस ट्रोजन, जिसे पहली बार मार्च 2008 में जनता के लिए जारी किया गया था - SugarGh0st एक साफ, मल्टीटूल जासूसी मशीन है। C++ में लिखी गई 32-बिट डायनेमिक लिंक लाइब्रेरी (DLL), यह सिस्टम डेटा एकत्र करने से शुरू होती है, फिर पूर्ण रिमोट एक्सेस क्षमताओं के द्वार खोलती है।

हमलावर SugarGh0st का उपयोग अपनी क्षतिग्रस्त मशीन के बारे में किसी भी जानकारी को पुनः प्राप्त करने, या उसके द्वारा चल रही प्रक्रियाओं को शुरू करने, समाप्त करने या हटाने के लिए कर सकते हैं। वे इसका उपयोग फ़ाइलों को ढूंढने, निकालने और हटाने के लिए कर सकते हैं, और परिणामी फोरेंसिक साक्ष्य को छुपाने के लिए किसी भी ईवेंट लॉग को मिटा सकते हैं। पिछले दरवाजे में एक कीलॉगर, एक स्क्रीनशॉटर, डिवाइस के कैमरे तक पहुंचने का एक साधन और माउस में हेरफेर करने, देशी विंडोज ऑपरेशन करने या बस मनमाने कमांड चलाने के लिए कई अन्य उपयोगी फ़ंक्शन लगे होते हैं।

सिस्को टैलोस के आउटरीच प्रमुख निक बियासिनी कहते हैं, "जो बात मेरे लिए सबसे अधिक चिंता की बात है वह यह है कि इसे विशेष रूप से पिछली पहचान विधियों से बचने के लिए कैसे डिज़ाइन किया गया है।" इस नए संस्करण के साथ, विशेष रूप से, "उन्होंने ऐसे काम करने का प्रयास किया जो कोर डिटेक्शन के काम करने के तरीके को बदल देगा।"

ऐसा नहीं है कि SugarGh0st के पास कोई विशेष रूप से नवीन चोरी तंत्र है। बल्कि, मामूली सौंदर्य परिवर्तन इसे पिछले वेरिएंट से अलग दिखाते हैं, जैसे कमांड-एंड-कंट्रोल (सी 2) संचार प्रोटोकॉल को बदलना जैसे कि 5 बाइट्स के बजाय, नेटवर्क पैकेट हेडर पहले 8 बाइट्स को मैजिक बाइट्स के रूप में आरक्षित करते हैं (की एक सूची) फ़ाइल हस्ताक्षर, फ़ाइल की सामग्री की पुष्टि करने के लिए उपयोग किया जाता है)। बियासिनी का कहना है, "यह कोशिश करने और यह सुनिश्चित करने का एक बहुत ही प्रभावी तरीका है कि आपका मौजूदा सुरक्षा उपकरण तुरंत इस पर ध्यान नहीं देगा।"

Gh0st RAT का पुराना अड्डा

सितंबर 2008 में, दलाई लामा के कार्यालय ने एक सुरक्षा शोधकर्ता से संपर्क किया (नहीं, यह किसी बुरे मजाक की शुरुआत नहीं है)।

इसके कर्मचारियों को फ़िशिंग ईमेल से परेशान किया जा रहा था। संपूर्ण संगठन में Microsoft एप्लिकेशन बिना किसी स्पष्टीकरण के क्रैश हो रहे थे। एक साधु को याद किया अपने कंप्यूटर को माइक्रोसॉफ्ट आउटलुक को अपने आप खोलते हुए, एक ईमेल में दस्तावेज़ संलग्न करते हुए, और उस ईमेल को किसी अज्ञात पते पर भेजते हुए, बिना उसके इनपुट के।

एक Gh0st RAT बीटा मॉडल की अंग्रेजी भाषा यूआई; स्रोत: वेबैक मशीन के माध्यम से ट्रेंड माइक्रो ईयू

एक Gh0st RAT बीटा मॉडल का अंग्रेजी-भाषा यूआई। स्रोत: वेबैक मशीन के माध्यम से ट्रेंड माइक्रो ईयू

बियासिनी का कहना है कि तिब्बती भिक्षुओं के खिलाफ उस चीनी सैन्य-जुड़े अभियान में इस्तेमाल किया गया ट्रोजन कुछ कारणों से समय की कसौटी पर खरा उतरा है।

“ओपन सोर्स मैलवेयर परिवार लंबे समय तक जीवित रहते हैं क्योंकि अभिनेताओं को मैलवेयर का एक पूरी तरह कार्यात्मक टुकड़ा मिलता है जिसे वे आवश्यकतानुसार हेरफेर कर सकते हैं। यह उन लोगों को भी अनुमति देता है जो मैलवेयर लिखना नहीं जानते इस सामग्री का निःशुल्क लाभ उठाएँ," वो समझाता है।

वह कहते हैं, Gh0st RAT, विशेष रूप से "एक बहुत ही कार्यात्मक, बहुत अच्छी तरह से निर्मित RAT" के रूप में सामने आता है।

समय टिकट:

से अधिक डार्क रीडिंग

Axonius Bolsters SaaS Management की पेशकश नए व्यवहार विश्लेषण और SaaS उपयोगकर्ता-डिवाइस एसोसिएशन क्षमताओं के साथ टीमों को SaaS एप्लिकेशन जोखिम से निपटने में मदद करने के लिए

स्रोत क्लस्टर:
स्रोत नोड: 1772832
समय टिकट: दिसम्बर 15, 2022