一种新的、更恐怖的 Gh0st RAT 恶意软件困扰着全球网络目标

最近针对韩国人和乌兹别克斯坦外交部的攻击中发现了臭名昭著的“Gh0st RAT”恶意软件的新变种。

中国团体“C.Rufus Security Team” 首次在开放网络上发布 Gh0st RAT 2008 年 XNUMX 月。值得注意的是，它至今仍在使用，特别是在中国及其周边地区，尽管 修改后的形式.

例如，自 0 月下旬以来，一个与中国有密切联系的组织一直在分发经过修改的 Gh0st RAT，该 RAT 被称为“SugarGhXNUMXst RAT”。 根据思科 Talos 的研究，该威胁行为者通过 JavaScript 相关的 Windows 快捷方式投放变种，同时使用定制的诱饵文档分散目标的注意力。

该恶意软件本身在很大程度上仍然是以前的有效工具，尽管它现在带有一些新的贴花来帮助绕过防病毒软件。

SugarGh0st RAT 的陷阱

SugarGh0st 的四个样本可能通过网络钓鱼传播，以嵌入 Windows LNK 快捷方式文件的存档形式到达目标计算机。 LNK 隐藏了恶意 JavaScript，打开后会释放一个诱饵文档（针对韩国或乌兹别克斯坦政府受众）和有效负载。

与其前身（2008 年 0 月首次向公众发布的中国远程访问木马）一样，SugarGh32st 是一种干净的、多功能的间谍机器。 一个用 C++ 编写的 XNUMX 位动态链接库 (DLL)，它首先收集系统数据，然后打开全面远程访问功能的大门。

攻击者可以使用 SugarGh0st 检索他们可能想要的有关受感染计算机的任何信息，或者启动、终止或删除其正在运行的进程。 他们可以使用它来查找、窃取和删除文件，并删除任何事件日志以掩盖由此产生的取证证据。 该后门配备了键盘记录器、屏幕截图程序、访问设备摄像头的方法以及许多其他有用的功能，用于操纵鼠标、执行本机 Windows 操作或简单地运行任意命令。

“我最关心的是它是如何专门设计来逃避以前的检测方法的，”思科 Talos 的外展主管尼克·比亚西尼 (Nick Biasini) 说。 具体来说，通过这种新变体，“他们付出了努力来改变核心检测的工作方式。”

SugarGh0st 并不是有任何特别新颖的规避机制。 相反，细微的美学变化使其看起来与之前的变体有所不同，例如更改命令和控制 (C2) 通信协议，以便网络数据包标头将前 5 个字节保留为魔术字节（一系列字节），而不是 8 个字节。文件签名，用于确认文件的内容）。 “这是一种非常有效的方法，可以尝试确保您现有的安全工具不会立即出现这种情况，”比亚西尼说。

Gh0st RAT 的老巢

早在 2008 年 XNUMX 月，达赖喇嘛的办公室就联系了一位安全研究员（不，这不是一个糟糕的笑话的开始）。

它的员工充斥着网络钓鱼电子邮件。 整个组织的微软应用程序崩溃了，而且没有任何解释。 和尚一名 回顾 看着他的计算机自行打开 Microsoft Outlook，将文档附加到电子邮件中，并将该电子邮件发送到无法识别的地址，所有这些都无需他的输入。

Gh0st RAT beta 模型的英文用户界面。 资料来源：趋势科技欧盟，来自 Wayback Machine

比亚西尼表示，在中国针对西藏僧侣的军事行动中使用的特洛伊木马程序经受住了时间的考验，原因有几个。

“开源恶意软件家族之所以能长久存在，是因为攻击者获得了功能齐全的恶意软件，可以按照自己认为合适的方式进行操纵。 它还允许那些不知道如何编写恶意软件的人 免费利用这个东西”，他解释说。

他补充道，Gh0st RAT 特别引人注目，因为它是“一种非常实用、构建精良的 RAT”。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea