Nova, bolj grozljiva zlonamerna programska oprema Gh0st RAT preganja globalne kibernetske tarče

Nova različica zloglasne zlonamerne programske opreme »Gh0st RAT« je bila ugotovljena v nedavnih napadih, usmerjenih proti Južnokorejcem in ministrstvu za zunanje zadeve v Uzbekistanu.

Kitajska skupina "C.Rufus Security Team" prvič izdal Gh0st RAT na odprtem spletu marca 2008. Zanimivo je, da je še danes v uporabi, zlasti na Kitajskem in v njeni okolici, čeprav v spremenjenih oblikah.

Od konca avgusta, na primer, skupina z močnimi kitajskimi povezavami distribuira spremenjeno Gh0st RAT, imenovano "SugarGh0st RAT." Po raziskavi podjetja Cisco Talos, ta akter grožnje opusti različico prek bližnjic Windows z JavaScriptom, hkrati pa moti tarče s prilagojenimi dokumenti za vabo.

Sama zlonamerna programska oprema je še vedno v veliki meri enako, učinkovito orodje, kot je bilo kdajkoli, čeprav ima zdaj nekaj novih nalepk, ki pomagajo premagati protivirusno programsko opremo.

SugarGh0st RAT's Traps

Štirje vzorci SugarGh0st, verjetno dostavljeni prek lažnega predstavljanja, prispejo na ciljne računalnike kot arhivi, vdelani z datotekami bližnjic Windows LNK. LNK-ji skrivajo zlonamerni JavaScript, ki ob odpiranju spusti dokument z vabo – namenjen korejskemu ali uzbekistanskemu vladnemu občinstvu – in tovor.

Tako kot njegov prednik – trojanec za oddaljeni dostop iz Kitajske, ki je bil javnosti prvič objavljen marca 2008 – je SugarGh0st čist vohunski stroj z več orodji. 32-bitna dinamično povezovalna knjižnica (DLL), napisana v C++, se začne z zbiranjem sistemskih podatkov, nato pa odpre vrata popolnim zmožnostim oddaljenega dostopa.

Napadalci lahko uporabijo SugarGh0st za pridobitev kakršnih koli informacij o svojem ogroženem računalniku ali za zagon, prekinitev ali brisanje procesov, ki se izvajajo. Uporabijo ga lahko za iskanje, izločanje in brisanje datotek ter brisanje vseh dnevnikov dogodkov, da prikrijejo nastale forenzične dokaze. Zadnja vrata so opremljena s zapisovalnikom tipk, snemalnikom zaslona, ​​sredstvom za dostop do kamere naprave in številnimi drugimi uporabnimi funkcijami za upravljanje miške, izvajanje domačih operacij sistema Windows ali preprosto izvajanje poljubnih ukazov.

»Najbolj me skrbi, kako je posebej zasnovan za izogibanje prejšnjim metodam odkrivanja,« pravi Nick Biasini, vodja oddelka Cisco Talos. Natančneje, s to novo različico "so se potrudili, da bi naredili stvari, ki bi spremenile način delovanja odkrivanja jedra."

Ne gre za to, da ima SugarGh0st kakšne posebno nove mehanizme izogibanja. Namesto tega se zaradi manjših estetskih sprememb zdi drugačen od prejšnjih različic, kot je sprememba komunikacijskega protokola za ukaz in nadzor (C2), tako da namesto 5 bajtov glave omrežnih paketov rezervirajo prvih 8 bajtov kot čarobne bajte (seznam podpisi datotek, ki se uporabljajo za potrditev vsebine datoteke). »To je le zelo učinkovit način, da poskusite zagotoviti, da vaše obstoječe varnostno orodje tega ne bo takoj zaznalo,« pravi Biasini.

Gh0st RAT's Old Haunts

Septembra 2008 je pisarna dalajlame stopila v stik z varnostnim raziskovalcem (ne, to ni začetek slabe šale).

Njeni zaposleni so bili zasuti z lažnimi e-poštnimi sporočili. Microsoftove aplikacije so se brez pojasnila zrušile po vsej organizaciji. En menih opozoril opazuje, kako njegov računalnik sam odpre Microsoft Outlook, priloži dokumente e-pošti in to e-pošto pošlje na neprepoznan naslov, vse brez njegovega vnosa.

Uporabniški vmesnik modela Gh0st RAT beta v angleškem jeziku. Vir: Trend Micro EU prek Wayback Machine

Trojanec, uporabljen v tisti kitajski vojaški kampanji proti tibetanskim menihom, je prestal preizkus časa, pravi Biasini, iz nekaj razlogov.

»Družine odprtokodne zlonamerne programske opreme živijo dolgo, ker akterji dobijo popolnoma funkcionalen del zlonamerne programske opreme, s katero lahko manipulirajo, kot se jim zdi primerno. Omogoča tudi ljudem, ki ne vedo, kako pisati zlonamerno programsko opremo izkoristite te stvari brezplačno, «Razloži.

Gh0st RAT, dodaja, še posebej izstopa kot "zelo funkcionalen, zelo dobro zgrajen RAT."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea