СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

Gh0st RAT и рекламное ПО: двойная угроза для систем

Недавний анализ киберугроз выявил деструктивную вредоносную кампанию, в которой злоумышленники одновременно используют рекламное ПО и троянскую программу Gh0st RAT. Такой подход позволяет атакующим не только сохранять долгосрочный контроль над скомпрометированными системами, но и извлекать выгоду из трафика, связанного с adware.

По данным отчета, вредоносное ПО применяет продвинутые методы уклонения от обнаружения, поддерживает свое присутствие в инфраструктуре жертвы и извлекает конфиденциальные данные. В результате атакующие получают возможность быстро монетизировать заражение и одновременно удерживать доступ к системе на длительный срок.

Как работает вредоносная цепочка

Ключевым элементом кампании является вредоносный loader, который скрывает содержимое полезной нагрузки. Внутри него находятся Gh0st RAT и CloverPlus adware. Если запуск происходит не из директории %Temp%, loader копирует себя, после чего расшифровывает Gh0st RAT и запускает его через системную утилиту rundll32.exe.

Такое поведение указывает на заранее продуманную схему доставки вредоносного кода, ориентированную на сокрытие конечной payload и затруднение анализа специалистами по безопасности.

Почему Gh0st RAT остается популярным инструментом

Gh0st RAT давно считается предпочтительным инструментом киберпреступников благодаря возможностям закрепления и скрытного выполнения. В отчете отмечается, что вредоносная программа использует модификации реестра и выполнение через DLL, чтобы избежать обнаружения и оставаться в ожидании команд от Command and Control (C2) сервера.

Кроме того, анализ показал, что вредоносное ПО использует ряд техник из матрицы MITRE ATT&CK, что делает кампанию особенно опасной и сложной для выявления.

Основные техники, зафиксированные в кампании

Среди наиболее значимых методов, применяемых Gh0st RAT, исследователи выделили следующие:

  • T1134 — манипуляция access token для повышения привилегий и взаимодействия с другими процессами;
  • T1070.004 — устранение признаков компрометации путем завершения процессов, связанных с DNS services;
  • T1012 — проверка наличия virtual machine через запросы к registry, чтобы адаптировать поведение вредоносного ПО;
  • T1071.004 и T1016 — использование DNS для получения вводящих в заблуждение ответов и блокирования legitimate security tools;
  • T1547.001 — закрепление через раздел реестра Windows Run;
  • T1543.003 — использование Windows Services для регистрации вредоносных DLL с повышенными привилегиями;
  • T1056.001 — keylogging, включая перехват ввода во время RDP sessions.

Отдельного внимания заслуживает способность вредоносного ПО изменять DNS settings и затруднять работу средств защиты. По сути, это позволяет атакующим создавать ложную картину сетевой активности и снижать эффективность защитных механизмов.

Уклонение, C2-коммуникация и persistence

Для связи с инфраструктурой управления Gh0st RAT использует процедуру dead drop resolver (DDR). Этот метод помогает маскировать реальные цели и затрудняет отслеживание коммуникаций с потенциально вредоносными websites.

Отдельно подчеркивается наличие механизмов persistence. Использование ключа Windows Run обеспечивает повторную активацию после перезагрузки, а регистрация через Windows Services помогает вредоносному коду сохранять устойчивость в системе и расширять свои привилегии.

В условиях удаленного доступа, особенно при работе через RDP, риск возрастает: keylogging позволяет злоумышленникам собирать учетные данные и другие чувствительные сведения, необходимые для дальнейшего развития атаки.

Что помогает обнаруживать угрозу

Для выявления этого варианта Gh0st RAT специалисты разработали набор аналитических правил в среде Splunk. Они ориентированы на обнаружение подозрительных действий, включая:

  • выполнение команды ping sleep, что может указывать на попытку избежать обнаружения;
  • изменения в критически важных разделах реестра, связанных с Windows remote access services;
  • аномалии, характерные для закрепления и скрытой коммуникации с C2-инфраструктурой.

Всего было предложено 15 distinct detection strategies, направленных на снижение рисков, связанных с этой кампанией. По мнению авторов анализа, это подчеркивает необходимость постоянного и проактивного threat hunting.

Вывод

Обнаруженная кампания демонстрирует, как современные злоумышленники комбинируют adware и RAT-инструменты для достижения сразу нескольких целей: от скрытого присутствия в сети до кражи данных и монетизации трафика. Gh0st RAT в этой схеме выступает ядром длительного контроля, а механизмы уклонения и persistence делают угрозу особенно устойчивой.

Главный вывод отчета очевиден: только постоянный мониторинг, поведенческий анализ и заранее подготовленные detection rules способны заметно снизить эффективность подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: