Egy új, kísérteties Gh0st RAT rosszindulatú program kísérti a globális kibercélokat

A hírhedt „Gh0st RAT” kártevő új változatát azonosították a közelmúltban a dél-koreaiakat és az üzbegisztáni külügyminisztériumot célzó támadások során.

A kínai „C.Rufus Security Team” csoport először megjelent a Gh0st RAT a nyílt weben 2008 márciusában. Figyelemre méltó, hogy még ma is használatban van, különösen Kínában és környékén, bár módosított formákban.

Augusztus vége óta például egy erős kínai kapcsolatokkal rendelkező csoport egy módosított Gh0st RAT-ot terjeszt, amelyet „SugarGh0st RAT-nak” neveznek. A Cisco Talos kutatása szerint, ez a fenyegetettség szereplője eldobja a változatot JavaScript-befűzött Windows-parancsikonokkal, miközben testreszabott csalidokumentumokkal eltereli a célpontokat.

Maga a rosszindulatú program továbbra is nagyrészt ugyanaz, hatékony eszköz, mint valaha is, bár most néhány új matricát is tartalmaz, amelyek segítik a víruskereső szoftverek kikerülését.

SugarGh0st RAT csapdái

A SugarGh0st négy mintája, amelyeket valószínűleg adathalászattal szállítottak, Windows LNK parancsikonfájlokba ágyazott archívumként érkezik meg a megcélzott gépekre. Az LNK-k rosszindulatú JavaScript-kódot rejtenek, amely megnyitásakor eldob egy – a koreai vagy üzbég kormányközönségnek szánt – csalidokumentumot és a rakományt.

A SugarGh2008st elődjéhez hasonlóan – a kínai eredetű távoli hozzáférésű trójai programhoz, amelyet először 0 márciusában hoztak nyilvánosságra – a SugarGh32st egy tiszta, többszerszámos kémgép. A C++ nyelven írt XNUMX bites dinamikus hivatkozási könyvtár (DLL), rendszeradatok gyűjtésével kezdődik, majd megnyitja a kaput a teljes távoli hozzáférési lehetőségek előtt.

A támadók a SugarGh0st segítségével lekérhetik a feltört gépükkel kapcsolatos információkat, vagy elindíthatják, leállíthatják vagy törölhetik a futó folyamatokat. Használhatják fájlok megkeresésére, kiszűrésére és törlésére, valamint az eseménynaplók törlésére, hogy elfedjék a keletkezett törvényszéki bizonyítékokat. A hátsó ajtóhoz tartozik egy billentyűzetnaplózó, egy képernyőkép, egy eszköz az eszköz kamerájához, és számos egyéb hasznos funkció az egér kezeléséhez, a natív Windows műveletek végrehajtásához vagy egyszerűen tetszőleges parancsok futtatásához.

„A számomra leginkább az aggaszt, hogyan tervezték kifejezetten a korábbi észlelési módszerek kikerülésére” – mondja Nick Biasini, a Cisco Talos kapcsolattartó vezetője. Ezzel az új variánssal konkrétan „erõfeszítéseket tettek olyan dolgok megtételére, amelyek megváltoztatják az alapérzékelés mûködését”.

Nem arról van szó, hogy a SugarGh0st különösebben újszerű kijátszási mechanizmusokkal rendelkezik. Inkább a kisebb esztétikai változtatások miatt a korábbi változatoktól eltérőnek tűnik, mint például a C2 kommunikációs protokoll megváltoztatása oly módon, hogy 5 bájt helyett a hálózati csomagfejlécek az első 8 bájtot foglalják le varázsbájtként (a fájl-aláírások, amelyek a fájl tartalmának megerősítésére szolgálnak). "Ez csak egy nagyon hatékony módja annak, hogy megpróbálja megbizonyosodni arról, hogy a meglévő biztonsági eszközei nem fogják ezt azonnal felvenni" - mondja Biasini.

Gh0st RAT régi kísértetei

Még 2008 szeptemberében a Dalai Láma irodája megkeresett egy biztonsági kutatót (nem, ez nem egy rossz vicc kezdete).

Alkalmazottait adathalász e-mailekkel borították fel. A Microsoft-alkalmazások magyarázat nélkül összeomlottak az egész szervezetben. Egy szerzetes emlékeztetett nézi, ahogy a számítógépe magától megnyitja a Microsoft Outlookot, dokumentumokat csatol egy e-mailhez, és elküldi azt egy ismeretlen címre, mindezt az ő közreműködése nélkül.

A Gh0st RAT béta modell angol nyelvű felhasználói felülete. Forrás: Trend Micro EU a Wayback Machinen keresztül

A tibeti szerzetesek elleni kínai katonai hadjáratban használt trójai több okból kiállta az idő próbáját, mondja Biasini.

„A nyílt forráskódú rosszindulatú programcsaládok sokáig élnek, mert a szereplők egy teljesen működőképes kártevőt kapnak, amelyet belátásuk szerint manipulálhatnak. Lehetővé teszi azok számára is, akik nem tudják, hogyan írjanak rosszindulatú programokat kihasználni ezt a cuccot ingyen," Magyarázza.

Hozzáteszi, hogy a Gh0st RAT „egy nagyon funkcionális, nagyon jól felépített RAT”-ként tűnik ki.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea