Новое, более жуткое вредоносное ПО Gh0st RAT преследует глобальные киберцели

Новый вариант печально известного вредоносного ПО «Gh0st RAT» был обнаружен в ходе недавних атак, направленных на жителей Южной Кореи и Министерство иностранных дел Узбекистана.

Китайская группа «C.Rufus Security Team» впервые выпустил Gh0st RAT в открытой сети в марте 2008 года. Примечательно, что он все еще используется сегодня, особенно в Китае и его окрестностях, хотя и в модифицированных формах.

Например, с конца августа группа с сильными связями в Китае распространяет модифицированную версию Gh0st RAT, называемую «SugarGh0st RAT». По данным исследования Cisco Talos, этот злоумышленник удаляет вариант с помощью ярлыков Windows с добавлением JavaScript, одновременно отвлекая цели настраиваемыми документами-ловушками.

Сама вредоносная программа во многом остается тем же эффективным инструментом, которым она когда-либо была, хотя теперь она оснащена некоторыми новыми наклейками, помогающими обойти антивирусное программное обеспечение.

Ловушки SugarGh0st RAT

Четыре образца SugarGh0st, вероятно, доставленные посредством фишинга, поступают на целевые машины в виде архивов, встроенных в файлы ярлыков Windows LNK. LNK скрывают вредоносный JavaScript, который при открытии сбрасывает документ-ловушку, предназначенный для правительственной аудитории Кореи или Узбекистана, и полезную нагрузку.

Как и его прародитель — троян удаленного доступа китайского происхождения, впервые представленный публике в марте 2008 года, — SugarGh0st представляет собой чистую многофункциональную шпионскую машину. 32-битная динамическая библиотека (DLL), написанная на C++, начинается со сбора системных данных, а затем открывает возможности для полного удаленного доступа.

Злоумышленники могут использовать SugarGh0st для получения любой информации о своей скомпрометированной машине, а также для запуска, завершения или удаления запущенных на ней процессов. Они могут использовать его для поиска, извлечения и удаления файлов, а также стирания любых журналов событий, чтобы замаскировать полученные судебно-медицинские доказательства. Бэкдор оснащен кейлоггером, средством создания снимков экрана, средством доступа к камере устройства и множеством других полезных функций для управления мышью, выполнения собственных операций Windows или просто запуска произвольных команд.

«Меня больше всего беспокоит то, как он специально разработан для уклонения от предыдущих методов обнаружения», — говорит Ник Биазини, руководитель отдела связей с общественностью Cisco Talos. В частности, в этом новом варианте «они предприняли усилия, чтобы изменить способ работы обнаружения ядра».

Дело не в том, что у SugarGh0st есть какие-то особенно новые механизмы уклонения. Скорее, незначительные эстетические изменения делают его отличным от предыдущих вариантов, например, изменение протокола связи управления и контроля (C2), так что вместо 5 байт заголовки сетевых пакетов резервируют первые 8 байтов как магические байты (список подписи файлов, используемые для подтверждения содержимого файла). «Это просто очень эффективный способ убедиться, что ваши существующие инструменты безопасности не отреагируют на это сразу же», — говорит Биазини.

Старые места Gh0st RAT

Еще в сентябре 2008 года офис Далай-ламы обратился к исследователю безопасности (нет, это не начало плохой шутки).

Ее сотрудников засыпали фишинговыми электронными письмами. Приложения Microsoft без объяснения причин зависали во всей организации. Один монах напомнил наблюдая, как его компьютер самостоятельно открывает Microsoft Outlook, прикрепляет документы к электронному письму и отправляет это письмо на неизвестный адрес, и все это без его участия.

Англоязычный интерфейс бета-модели Gh0st RAT. Источник: Trend Micro EU через Wayback Machine.

Троянец, использованный в военной кампании Китая против тибетских монахов, выдержал испытание временем, говорит Биазини, по нескольким причинам.

«Семейства вредоносных программ с открытым исходным кодом живут долго, потому что злоумышленники получают полнофункциональную часть вредоносного ПО, которой они могут манипулировать по своему усмотрению. Это также позволяет людям, которые не знают, как писать вредоносные программы, использовать этот материал бесплатно, - поясняет он.

Gh0st RAT, добавляет он, выделяется, в частности, как «очень функциональная и очень хорошо сконструированная RAT».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea