มัลแวร์ RAT ใหม่ที่น่ากลัวกว่า Gh0st RAT หลอกหลอนเป้าหมายทางไซเบอร์ทั่วโลก

มัลแวร์สายพันธุ์ใหม่ “Gh0st RAT” ที่น่าอับอายได้รับการระบุในการโจมตีล่าสุดที่กำหนดเป้าหมายชาวเกาหลีใต้และกระทรวงการต่างประเทศในอุซเบกิสถาน

กลุ่มจีน “ทีมรักษาความปลอดภัยซี.รูฟัส” เปิดตัว Gh0st RAT ครั้งแรกบนเว็บแบบเปิด ในเดือนมีนาคม พ.ศ. 2008 ยังคงเป็นที่น่าสังเกตว่ายังคงใช้อยู่ในปัจจุบัน โดยเฉพาะในและรอบ ๆ ประเทศจีน แม้ว่า ในรูปแบบที่ปรับเปลี่ยน.

ตัวอย่างเช่น ตั้งแต่ปลายเดือนสิงหาคม กลุ่มที่มีการเชื่อมโยงภาษาจีนที่แข็งแกร่งได้เผยแพร่ Gh0st RAT ที่ได้รับการแก้ไข ซึ่งเรียกว่า “SugarGh0st RAT” จากการวิจัยของ Cisco Talosผู้คุกคามรายนี้จะปล่อยตัวแปรผ่านทางลัดของ Windows ที่ใช้ JavaScript ขณะเดียวกันก็เบี่ยงเบนความสนใจของเป้าหมายด้วยเอกสารล่อที่ปรับแต่งเอง

ตัวมัลแวร์เองยังคงเป็นเครื่องมือที่มีประสิทธิภาพเหมือนเดิมเป็นส่วนใหญ่ แม้ว่าตอนนี้จะมีสติ๊กเกอร์ใหม่เพื่อช่วยแอบซ่อนซอฟต์แวร์ป้องกันไวรัสก็ตาม

กับดักของ SugarGh0st RAT

ตัวอย่างทั้งสี่ของ SugarGh0st ที่อาจส่งผ่านฟิชชิ่ง มาถึงเครื่องเป้าหมายในรูปแบบไฟล์เก็บถาวรที่ฝังอยู่กับไฟล์ทางลัด Windows LNK LNK ซ่อน JavaScript ที่เป็นอันตรายซึ่งเมื่อเปิดขึ้นมาจะปล่อยเอกสารหลอกลวง — กำหนดเป้าหมายไปที่ผู้ชมของรัฐบาลเกาหลีหรืออุซเบก — และเพย์โหลด

เช่นเดียวกับบรรพบุรุษของมัน — โทรจันเข้าถึงระยะไกลที่มีต้นกำเนิดในจีน ซึ่งเปิดตัวสู่สาธารณะเป็นครั้งแรกในเดือนมีนาคม 2008 — SugarGh0st เป็นเครื่องจารกรรมที่สะอาดและมีหลายเครื่องมือ ไลบรารีลิงก์แบบไดนามิก (DLL) 32 บิตที่เขียนด้วยภาษา C++ เริ่มต้นจากการรวบรวมข้อมูลระบบ จากนั้นเปิดประตูสู่ความสามารถในการเข้าถึงระยะไกลเต็มรูปแบบ

ผู้โจมตีสามารถใช้ SugarGh0st เพื่อดึงข้อมูลใดๆ ที่พวกเขาอาจต้องการเกี่ยวกับเครื่องที่ถูกบุกรุก หรือเริ่มต้น ยุติ หรือลบกระบวนการที่เครื่องกำลังทำงานอยู่ พวกเขาสามารถใช้มันเพื่อค้นหา กรอง และลบไฟล์ และลบบันทึกเหตุการณ์ใดๆ เพื่อปกปิดหลักฐานทางนิติวิทยาศาสตร์ที่เป็นผลลัพธ์ ประตูหลังมาพร้อมกับคีย์ล็อกเกอร์ โปรแกรมจับภาพหน้าจอ วิธีเข้าถึงกล้องของอุปกรณ์ และฟังก์ชันที่มีประโยชน์อื่นๆ อีกมากมายสำหรับการควบคุมเมาส์ ใช้งาน Windows แบบเนทีฟ หรือเพียงแค่เรียกใช้คำสั่งที่กำหนดเอง

“สิ่งที่น่ากังวลที่สุดสำหรับฉันก็คือวิธีที่มันได้รับการออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงวิธีการตรวจจับก่อนหน้านี้” Nick Biasini หัวหน้าฝ่ายขยายงานของ Cisco Talos กล่าว ด้วยรูปแบบใหม่นี้ "พวกเขาใช้ความพยายามในการทำสิ่งต่างๆ ที่จะเปลี่ยนแปลงวิธีการตรวจจับหลัก"

ไม่ใช่ว่า SugarGh0st จะมีกลไกการหลบเลี่ยงที่แปลกใหม่เป็นพิเศษ แต่การเปลี่ยนแปลงความสวยงามเล็กน้อยทำให้ดูแตกต่างจากตัวแปรก่อนหน้านี้ เช่น การเปลี่ยนโปรโตคอลการสื่อสาร command-and-control (C2) โดยที่แทนที่จะเป็น 5 ไบต์ ส่วนหัวของแพ็กเก็ตเครือข่ายจะสงวน 8 ไบต์แรกเป็นไบต์วิเศษ (รายการของ ลายเซ็นไฟล์ ใช้เพื่อยืนยันเนื้อหาของไฟล์) “มันเป็นเพียงวิธีที่มีประสิทธิภาพมากในการพยายามทำให้แน่ใจว่าเครื่องมือรักษาความปลอดภัยที่มีอยู่ของคุณจะไม่เข้ามามีบทบาทในทันที” Biasini กล่าว

สิ่งหลอกหลอนเก่าของ Gh0st RAT

ย้อนกลับไปในเดือนกันยายน พ.ศ. 2008 สำนักงานของทะไลลามะได้ติดต่อนักวิจัยด้านความปลอดภัย (ไม่ นี่ไม่ใช่จุดเริ่มต้นของเรื่องตลกร้าย)

พนักงานของบริษัทถูกโจมตีด้วยอีเมลฟิชชิ่ง แอปพลิเคชัน Microsoft ขัดข้องทั่วทั้งองค์กรโดยไม่มีคำอธิบาย พระภิกษุท่านหนึ่ง จำได้ว่า ดูคอมพิวเตอร์ของเขาเปิด Microsoft Outlook ด้วยตัวเอง แนบเอกสารไปกับอีเมล และส่งอีเมลนั้นไปยังที่อยู่ที่ไม่รู้จัก ทั้งหมดนี้โดยไม่ต้องป้อนข้อมูลจากเขา

UI ภาษาอังกฤษของรุ่นเบต้า Gh0st RAT ที่มา: Trend Micro EU ผ่าน Wayback Machine

โทรจันที่ใช้ในการรณรงค์ที่เชื่อมโยงกับทหารจีนเพื่อต่อต้านพระทิเบตนั้นผ่านการทดสอบของเวลา Biasini กล่าวด้วยเหตุผลบางประการ

“ตระกูลมัลแวร์โอเพ่นซอร์สมีอายุยืนยาวเพราะนักแสดงได้รับมัลแวร์ที่ทำงานได้อย่างสมบูรณ์ซึ่งสามารถจัดการได้ตามที่เห็นสมควร นอกจากนี้ยังช่วยให้ผู้ที่ไม่ทราบวิธีเขียนมัลแวร์ด้วย ใช้ประโยชน์จากสิ่งนี้ได้ฟรี” เขาอธิบาย

เขากล่าวเสริมว่า Gh0st RAT มีความโดดเด่นเป็นพิเศษในฐานะ “RAT ที่ใช้งานได้ดีมากและสร้างมาอย่างดี”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea