PLAYFULGHOST kenkėjiška programa yra sudėtinga šnipinėjimo grėsmė, kuri nejuokauja
Table of Contents
Modernios užpakalinės durys su daugybe galimybių
Kibernetinio saugumo analitikai nustatė skaitmeninę grėsmę, žinomą kaip PLAYFULGHOST – užpakalinės durys, sukurtos su daugybe funkcijų, skirtų jautriai informacijai rinkti. Ši grėsmė leidžia nuotoliniu būdu valdyti pažeistas sistemas, siūlant tokias funkcijas kaip klavišų paspaudimų registravimas, ekrano ir garso įrašymas, nuotolinis komandų vykdymas ir failų valdymas.
PLAYFULGHOST galima palyginti su senesniu nuotolinio administravimo įrankiu, pavadintu Gh0st RAT. Gh0st RAT šaltinio kodas tapo viešai prieinamas 2008 m. ir tai tikriausiai turėjo įtakos naujesnių grėsmių , įskaitant PLAYFULGHOST, kūrimui.
Įėjimo taškai ir paskirstymo taktika
PLAYFULGHOST naudoja kelis įėjimo vektorius, kad įsiskverbtų į sistemas, įskaitant apgaulingus el. laiškus ir manipuliuojamus paieškos variklio rezultatus. Vienas iš pastebėtų metodų apima sukčiavimo el. laiškus, kurie vilioja gavėjus atidaryti kenkėjiškus archyvo failus, paslėptus kaip vaizdo formatai. Išskleisti šie failai inicijuoja galinių durų diegimą per etapinį atakos procesą.
Kita taktika remiasi manipuliavimu paieškos sistemomis, kai vartotojai yra klaidinami atsisiunčiant pakeistas teisėtos programinės įrangos, pvz., „LetsVPN“, versijas. Šie sugadinti montuotojai pateikia tarpinius naudingus krovinius, kurie vėliau nuskaito ir paleidžia PLAYFULGHOST užpakalines duris iš išorinio serverio.
Išplėstinė vykdymo technika
Kad išvengtų aptikimo ir užtikrintų vykdymą, PLAYFULGHOST taiko sudėtingus įkėlimo būdus, tokius kaip DLL paieškos užsakymo užgrobimas ir šoninis įkėlimas. Šie metodai leidžia kenkėjiškajai programai diskretiškai integruotis į sistemą. Kai kuriais atvejais buvo pastebėta, kad „Windows“ sparčiųjų klavišų failai yra naudojami žalingiems DLL rinkti ir vykdyti, o tai dar labiau užtemdo jų buvimą.
Užpakalinės durys taip pat užtikrina patvarumą įvairiais mechanizmais, įskaitant registro pakeitimus, suplanuotas užduotis, „Windows“ paslaugas ir paleisties aplankų vietas. Šios priemonės leidžia išlikti aktyviam net ir paleidus sistemą iš naujo.
Duomenų rinkimas ir sistemos manipuliavimas
PLAYFULGHOST pristato platų šnipinėjimo įrankių rinkinį, leidžiantį išgauti daugybę naudotojų duomenų. Tai apima klavišų paspaudimų, ekrano kopijų, garso įrašų, iškarpinės turinio ir su sistemos konfigūracijomis susijusių metaduomenų fiksavimą. Be to, ji renka informaciją apie įdiegtą saugos programinę įrangą ir vartotojo kredencialus iš tokių programų kaip QQ.
Be duomenų rinkimo, PLAYFULGHOST turi funkcionalumą, trukdantį sistemos veikimui. Jis gali įvesti papildomų naudingųjų apkrovų, blokuoti įvestį iš pelės ir klaviatūros, išvalyti įvykių žurnalus ir ištrinti naršyklės talpyklas bei profilius. Tikslinės programos apima plačiai naudojamas naršykles ir pranešimų platformas, tokias kaip „Skype“, „Telegram“ ir „QQ“, o tai rodo susidomėjimą internetiniais ryšiais ir kredencialais.
Papildomų įrankių diegimas
PLAYFULGHOST neveikia atskirai – jis veikia kartu su kitomis programinės įrangos priemonėmis, kad padidintų jos efektyvumą. Vienas iš tokių įrankių yra Mimikatz, plačiai pripažinta kredencialų išgavimo programa. Kenkėjiška programa taip pat diegia „rootkit“, skirtą failams, registro įrašams ir aktyviems procesams paslėpti, kad ji liktų nepastebėta.
Kitas svarbus įtraukimas į PLAYFULGHOST įrankių rinkinį yra atvirojo kodo programa, žinoma kaip „Terminator“. Ši programinė įranga naudojama apsaugos priemonėms neutralizuoti naudojant atakos metodą, kuris išnaudoja pažeidžiamas tvarkykles, todėl kenkėjiška programa gali apeiti apsaugą ir netrukdomai veikti.
Taikymo modeliai ir pasekmės
Įrodymai rodo, kad PLAYFULGHOST gali būti specialiai skirtas naudotojams kiniškai kalbančiuose regionuose, kaip rodo tose srityse populiarių programų taikymas. „LetsVPN“ naudojimas kaip priviliojimas ir manipuliavimas plačiai naudojamomis vietinėmis naršyklėmis bei pranešimų siuntimo paslaugomis patvirtina šią hipotezę.
PLAYFULGHOST buvimas pabrėžia besikeičiantį kibernetinių grėsmių kraštovaizdį, kai užpuolikai nuolat tobulina būdus, kaip apeiti saugumo priemones. Jo priklausomybė nuo praeities grėsmių, tokių kaip Gh0st RAT, viešuoju kodu dar labiau parodo, kaip anksčiau atskleistos priemonės ir toliau daro įtaką šiuolaikinėms kibernetinėms operacijoms.
Paskutinės mintys
PLAYFULGHOST yra sudėtingas ir nuolatinis skaitmeninio šnipinėjimo įrankis, turintis daugybę galimybių, skirtų sistemoms pažeisti ir vertingai informacijai išgauti. Pažangių vengimo metodų ir papildomų priemonių panaudojimas yra didelis iššūkis kibernetinio saugumo apsaugai. Stebėti nukreipimo metodai ir atakų strategijos pabrėžia budrumo nuo sukčiavimo bandymų, įtartinų programinės įrangos atsisiuntimų ir neleistinų sistemos pakeitimų svarbą. Kadangi kibernetinės grėsmės ir toliau vystosi, sąmoningumas ir aktyvios saugumo priemonės išlieka itin svarbios siekiant sumažinti su tokiomis pažangiomis užpakalinėmis durimis susijusią riziką.
