En ny variant av den ökända "Gh0st RAT" skadlig programvara har identifierats i de senaste attackerna mot sydkoreaner och utrikesministeriet i Uzbekistan.
Den kinesiska gruppen "C.Rufus Security Team" först släppte Gh0st RAT på den öppna webben i mars 2008. Anmärkningsvärt nog används den fortfarande idag, särskilt i och runt Kina, om än i modifierade former.
Sedan slutet av augusti, till exempel, har en grupp med starka kinesiska länkar distribuerat en modifierad Gh0st RAT som anses vara "SugarGh0st RAT." Enligt forskning från Cisco Talos, släpper den här hotaktören varianten via JavaScript-lätade Windows-genvägar, samtidigt som den distraherar mål med anpassade lockdokument.
Skadlig programvara i sig är fortfarande i stort sett samma, effektiva verktyg som den någonsin har varit, även om den nu har några nya dekaler som hjälper till att smyga förbi antivirusprogramvaran.
SugarGh0st RATs fällor
De fyra proverna av SugarGh0st, troligen levererade via nätfiske, kommer till riktade maskiner som arkiv inbäddade med Windows LNK-genvägsfiler. LNK:erna döljer skadlig JavaScript som, när den öppnas, släpper ett lockbetedokument – riktat till koreanska eller uzbekiska regeringspublik – och nyttolasten.
Liksom sin stamfader – den kinesiska trojanen med fjärråtkomst, som först släpptes för allmänheten i mars 2008 – är SugarGh0st en ren spionmaskin med flera verktyg. Ett 32-bitars dynamiskt länkbibliotek (DLL) skrivet i C++, det börjar med att samla in systemdata och öppnar sedan upp dörren till fullständiga fjärråtkomstmöjligheter.
Angripare kan använda SugarGh0st för att hämta all information de kan önska om sin komprometterade maskin, eller starta, avsluta eller ta bort de processer som den körs. De kan använda den för att hitta, exfiltrera och radera filer och radera eventuella händelseloggar för att maskera de resulterande kriminaltekniska bevisen. Bakdörren är utrustad med en keylogger, en skärmdump, ett sätt att komma åt enhetens kamera och många andra användbara funktioner för att manipulera musen, utföra inbyggd Windows-operation eller helt enkelt köra godtyckliga kommandon.
"Det som är mest oroande för mig är hur det är specifikt utformat för att undvika tidigare upptäcktsmetoder", säger Nick Biasini, Cisco Talos chef för uppsökande verksamhet. Med denna nya variant, specifikt, "ansträngde de sig för att göra saker som skulle förändra hur kärndetektering skulle fungera."
Det är inte så att SugarGh0st har några särskilt nya undanflyktsmekanismer. Snarare får smärre estetiska förändringar det att se annorlunda ut än tidigare varianter, som att ändra kommunikationsprotokollet för kommando-och-kontroll (C2) så att istället för 5 byte, reserverar nätverkspakethuvuden de första 8 byten som magiska byte (en lista med filsignaturer, används för att bekräfta en fils innehåll). "Det är bara ett mycket effektivt sätt att försöka se till att ditt befintliga säkerhetsverktyg inte kommer att ta tag i det här direkt," säger Biasini.
Gh0st RATs gamla tillhåll
Tillbaka i september 2008 kontaktade Dalai Lamas kontor en säkerhetsforskare (nej, det här är inte början på ett dåligt skämt).
Dess anställda översållades med nätfiske-e-post. Microsoft-applikationer kraschade, utan förklaring, i hela organisationen. En munk erinras se sin dator öppna Microsoft Outlook helt på egen hand, bifoga dokument till ett e-postmeddelande och skicka det e-postmeddelandet till en okänd adress, allt utan hans input.
En Gh0st RAT betamodells engelskspråkiga användargränssnitt. Källa: Trend Micro EU via Wayback Machine
Trojanen som användes i den kinesiska militärrelaterade kampanjen mot tibetanska munkar har bestått tidens tand, säger Biasini, av några anledningar.
"Familjer med öppen källkod lever länge eftersom aktörer får en fullt fungerande del av skadlig programvara som de kan manipulera som de vill. Det tillåter också människor som inte vet hur man skriver skadlig programvara till utnyttja det här gratis," han förklarar.
Gh0st RAT, tillägger han, utmärker sig särskilt som "en mycket funktionell, mycket välbyggd RAT."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea
- : har
- :är
- $UPP
- 2008
- 7
- 8
- a
- Om Oss
- tillgång
- åtkomst
- tvärs
- aktörer
- adress
- Lägger
- estetisk
- Affairs
- mot
- Alla
- tillåter
- också
- an
- och
- antivirus
- vilken som helst
- visas
- tillämpningar
- arkiv
- runt
- AS
- bifoga
- Attacker
- målgrupper
- AUGUSTI
- bort
- bakdörr
- Badrum
- därför att
- varit
- Börjar
- Där vi får lov att vara utan att konstant prestera,
- beta
- by
- C + +
- rum
- Kampanj
- KAN
- kapacitet
- byta
- Förändringar
- byte
- Kina
- kinesisk
- Cisco
- rena
- Samla
- kommer
- Kommunikation
- Äventyras
- dator
- om
- Bekräfta
- innehåll
- Kärna
- Crashing
- kundanpassad
- cyber
- datum
- dekaler
- anses
- levereras
- utformade
- lust
- Detektering
- anordning
- olika
- fördelnings
- do
- dokumentera
- dokument
- donation
- Dörr
- Droppar
- dynamisk
- Effektiv
- ansträngning
- e
- inbäddade
- anställda
- Engelska
- spionage
- EU
- undgå
- skatteflykt
- händelse
- NÅGONSIN
- bevis
- befintliga
- Förklarar
- förklaring
- familjer
- få
- Fil
- Filer
- hitta
- Förnamn
- passa
- För
- utländska
- Forensic
- fyra
- från
- full
- fullständigt
- funktionella
- funktioner
- skaffa sig
- Välgörenhet
- kommer
- Regeringen
- Grupp
- he
- huvud
- headers
- hjälpa
- Dölja
- hans
- Hur ser din drömresa ut
- How To
- html
- http
- HTTPS
- identifierade
- bild
- in
- ökänd
- informationen
- ingång
- exempel
- istället
- isn
- IT
- DESS
- sig
- JavaScript
- bara
- Vet
- koreanska
- språk
- till stor del
- Sent
- Bibliotek
- sannolikt
- LINK
- länkar
- Lista
- lever
- Lång
- Maskinen
- Maskiner
- magi
- göra
- malware
- manipulerings
- Mars
- mask
- me
- betyder
- mekanismer
- metoder
- mikro
- Microsoft
- kanske
- departement
- mindre
- modell
- modifierad
- mest
- nativ
- nät
- Nya
- nick
- Nej
- roman
- nu
- of
- Office
- Gamla
- on
- ONE
- öppet
- öppen källkod
- öppning
- öppnas
- drift
- or
- organisation
- ursprung
- Övriga
- ut
- utsikterna
- uppsökande
- egen
- särskilt
- särskilt
- Tidigare
- Personer
- utför
- Nätfiske
- plocka
- bit
- plato
- Platon Data Intelligence
- PlatonData
- Massor
- föregående
- Innan
- processer
- protokoll
- allmän
- RÅTTA
- snarare
- skäl
- senaste
- frigörs
- avlägsen
- fjärråtkomst
- forskning
- forskaren
- Reserv
- resulterande
- höger
- rinnande
- s
- Samma
- säger
- säkerhet
- se
- sända
- September
- signaturer
- helt enkelt
- smyga
- Mjukvara
- några
- Källa
- Söder
- specifikt
- Sporter
- står
- starta
- Fortfarande
- stark
- sådana
- säker
- system
- Talos
- riktade
- targeting
- mål
- grupp
- testa
- den där
- Smakämnen
- deras
- sedan
- de
- sak
- saker
- detta
- fastän?
- hot
- tid
- till
- i dag
- tog
- verktyg
- Trend
- Trojan
- prova
- ui
- på
- användning
- Begagnade
- uzbekiska
- uzbekistan
- Variant
- mycket
- via
- tittar
- Sätt..
- były
- som
- medan
- VEM
- fönster
- med
- utan
- Arbete
- skulle
- skriva
- skriven
- Din
- zephyrnet
