悪名高い「Gh0st RAT」マルウェアの新たな亜種が、韓国人とウズベキスタン外務省を標的とした最近の攻撃で確認されました。
中国のグループ「C.Rufus Security Team」 Gh0st RAT をオープン Web 上で最初にリリース 驚くべきことに、この言語は現在でも、特に中国とその周辺地域で使用されています。 修正された形式で.
たとえば、0月下旬以来、中国との強いつながりを持つグループが、「SugarGh0st RAT」とみなされる改変されたGhXNUMXst RATを配布している。 Cisco Talos の調査によると、この脅威アクターは、カスタマイズされたおとりドキュメントでターゲットの注意をそらしながら、JavaScript を使用した Windows ショートカットを介して亜種を投下します。
マルウェア自体はこれまでとほぼ同じ効果的なツールですが、ウイルス対策ソフトウェアをすり抜けるのに役立ついくつかの新しいステッカーが貼られています。
SugarGh0st RATの罠
SugarGh0st の XNUMX つのサンプルは、フィッシング経由で配信された可能性が高く、Windows LNK ショートカット ファイルが埋め込まれたアーカイブとして標的のマシンに届きます。 LNK には悪意のある JavaScript が隠されており、これを開くと、韓国またはウズベキスタン政府の視聴者を対象としたおとり文書とペイロードが投下されます。
SugarGh2008st は、0 年 32 月に初めて一般に公開された中国起源のリモート アクセス トロイの木馬の祖先と同様、クリーンなマルチツールを備えたスパイ活動マシンです。 C++ で書かれた XNUMX ビットのダイナミック リンク ライブラリ (DLL) は、システム データの収集から始まり、完全なリモート アクセス機能への扉を開きます。
攻撃者は SugarGh0st を使用して、侵害されたマシンに関するあらゆる情報を取得したり、実行中のプロセスを開始、終了、削除したりできます。 これを使用してファイルを検索、抽出、削除したり、イベント ログを消去して結果として得られる法医学的証拠を隠すことができます。 バックドアには、キーロガー、スクリーンショット、デバイスのカメラにアクセスする手段、およびマウスの操作、ネイティブ Windows 操作の実行、または単に任意のコマンドの実行のためのその他の便利な機能が多数装備されています。
「私にとって最も懸念しているのは、これまでの検出方法を回避するためにどのように特別に設計されているかということです」と、Cisco Talos のアウトリーチ責任者である Nick Biasini 氏は言います。 この新しい亜種では、具体的には「コア検出の仕組みを変えることに努力を費やしました。」
SugarGh0st に特に新しい回避メカニズムがあるわけではありません。 むしろ、外観上の小さな変更により、以前の亜種とは異なるように見えます。たとえば、コマンド アンド コントロール (C2) 通信プロトコルを変更して、ネットワーク パケット ヘッダーが 5 バイトの代わりに最初の 8 バイトをマジック バイト (ファイルの内容を確認するために使用されるファイル署名)。 「これは、既存のセキュリティ ツールがすぐにこの問題に対処しないことを確認するための非常に効果的な方法です」とビアシーニ氏は言います。
Gh0st RAT の古いたまり場
2008 年 XNUMX 月に遡ると、ダライ・ラマ法王事務所はセキュリティ研究者に打診を持ちかけました (いいえ、これは悪い冗談の始まりではありません)。
従業員にはフィッシングメールが大量に送りつけられていました。 Microsoft アプリケーションは、理由もなく組織全体でクラッシュしていました。 一人の僧侶 リコール 彼のコンピュータが勝手に Microsoft Outlook を開き、電子メールに文書を添付し、その電子メールを認識できないアドレスに送信する様子を、すべて彼の入力なしに観察していました。
Gh0st RAT ベータ モデルの英語 UI。 出典: ウェイバック マシン経由のトレンドマイクロ EU
中国軍と連携したチベット僧侶に対する作戦で使われたこのトロイの木馬は、いくつかの理由から時の試練に耐えてきた、とビアシニ氏は言う。
「オープンソースのマルウェア ファミリは、攻撃者が必要に応じて操作できる完全に機能するマルウェアを入手するため、長生きします。 また、マルウェアの作成方法を知らない人でも、 これを無料で活用する、" 彼は説明する。
Gh0st RAT は特に「非常に機能的で、非常によく構築された RAT」として傑出している、と同氏は付け加えた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea
- :持っている
- :は
- $UP
- 2008
- 7
- 8
- a
- 私たちについて
- アクセス
- アクセス
- 越えて
- 俳優
- 住所
- 追加
- 美的
- 業務
- に対して
- すべて
- ことができます
- また
- an
- および
- アンチウイルス
- どれか
- 現れる
- アーカイブ
- 周りに
- AS
- アタッチ
- 攻撃
- ヒアリング
- 8月
- 離れて
- 裏口
- 悪い
- なぜなら
- き
- 開始
- さ
- ベータ
- by
- C + +
- カメラ
- キャンペーン
- 缶
- 機能
- 変化する
- 変更
- 変化
- 中国
- 中国語
- Cisco
- 収集
- comes
- コミュニケーション
- 損害を受けた
- コンピュータ
- について
- 確認します
- 中身
- 基本
- 墜落
- カスタマイズ
- サイバー
- データ
- デカール
- 考える
- 配信
- 設計
- 慾望
- 検出
- デバイス
- 異なります
- 配布する
- do
- ドキュメント
- ドキュメント
- ドン
- によって
- ドロップス
- ダイナミック
- 効果的な
- 努力
- メール
- 埋め込まれた
- 社員
- 英語
- スパイ
- EU
- 逃げる
- 回避
- イベント
- EVER
- 証拠
- 既存の
- 説明
- 説明
- 家族
- 少数の
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- フィット
- 外国の
- 法医学
- 4
- から
- フル
- 完全に
- 機能的な
- 機能
- 取得する
- グローバル
- 行く
- 政府・公共機関
- グループ
- he
- ヘッダーの
- 助けます
- 隠す
- 彼の
- 認定条件
- How To
- HTML
- HTTP
- HTTPS
- 特定され
- 画像
- in
- 悪名高いです
- 情報
- を取得する必要がある者
- ISN
- IT
- ITS
- 自体
- JavaScriptを
- ただ
- 知っている
- 韓国語
- 言語
- 主として
- 遅く
- 図書館
- 可能性が高い
- LINK
- リンク
- リスト
- ライブ
- 長い
- 機械
- マシン
- マジック
- make
- マルウェア
- 操作する
- 3月
- mask
- me
- 手段
- メカニズム
- メソッド
- マイクロ
- Microsoft
- かもしれない
- 省
- マイナー
- 修正されました
- 最も
- ネイティブ
- ネットワーク
- 新作
- ニック
- いいえ
- 小説
- 今
- of
- Office
- 古い
- on
- ONE
- 開いた
- オープンソース
- 開設
- 開きます
- 操作
- or
- 組織
- 起源
- その他
- でる
- Outlook
- 奉仕活動
- 自分の
- 特定の
- 特に
- 過去
- のワークプ
- 実行
- フィッシング詐欺
- 選ぶ
- ピース
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレンティ
- 前
- 事前の
- ラボレーション
- 公共
- RAT
- むしろ
- 理由は
- 最近
- リリース
- リモート
- リモートアクセス
- 研究
- 研究者
- ご予約
- 結果として
- 右
- ランニング
- s
- 同じ
- 言う
- セキュリティ
- 送信
- 9月
- 署名
- 単に
- こっそり
- ソフトウェア
- 一部
- ソース
- サウス
- 特に
- スポーツ
- スタンド
- start
- まだ
- 強い
- そのような
- 確か
- 茎
- 対象となります
- ターゲット
- ターゲット
- チーム
- test
- それ
- アプリ環境に合わせて
- その後
- 彼ら
- もの
- 物事
- この
- しかし?
- 脅威
- 時間
- 〜へ
- 今日
- 取った
- ツール
- トレンド
- トロイの
- 試します
- ui
- に
- つかいます
- 中古
- ウズベク語
- ウズベキスタン
- バリアント
- 非常に
- 、
- 見ている
- 仕方..
- した
- which
- while
- 誰
- ウィンドウズ
- 無し
- 仕事
- でしょう
- 書きます
- 書かれた
- あなたの
- ゼファーネット