СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.02.2025
#Dev#ИБ#Инфра

GhostSocks: Угроза нового поколения в киберпреступности

GhostSocks: Угроза нового поколения в киберпреступности

Источник: infrawatch.app

В октябре 2023 года на русскоязычном криминальном форуме появилась вредоносная программа GhostSocks – SOCKS5 backconnect proxy на базе Golang. С тех пор она смогла распространиться на англоязычные форумы в 2024 году, становясь значительным игроком на рынке вредоносного ПО.

Особенности GhostSocks

GhostSocks разработан для работы как на платформе Microsoft Windows, так и на Linux, и в основном предлагается как malware as a service (MaaS). Это облегчает его развертывание и интеграцию с другими типами вредоносных программ, такими как LummaC2.

Функциональные возможности

Интеграция между GhostSocks и Lumma включает в себя:

  • Автоматическую подготовку к заражению Lumma;
  • Скидки для владельцев лицензий Lumma;

Эти функции увеличивают операционные возможности вредоносного ПО и вероятность кражи учетных данных, обходя меры по борьбе с мошенничеством.

Структура и механизмы работы

После инициализации GhostSocks создает встроенную структуру конфигурации, состоящую из жестко заданных и динамически вычисляемых значений. Эти данные затем шифруются и сохраняются в зараженной системе.

Для обмена данными с фронтом управления (C2) GhostSocks использует простую HTTP API реализацию на основе ретрансляции. Сервер ретрансляции связывает вредоносное ПО с его реальной инфраструктурой C2. Аутентификация в запросах к C2 выполняется с помощью псевдослучайной буквенно-цифровой строки.

Угроза и последствия

GhostSocks позволяет злоумышленникам:

  • Обходить ограничения по геолокации;
  • Управлять скомпрометированными системами;
  • Защищать источники своих вредоносных действий.

Также программа включает в себя возможности бэкдора, которые упрощают выполнение произвольных команд и загрузку исполняемых файлов. Это значительно увеличивает вероятность злоупотребления учетными данными.

Анализ и рекомендации по защите

Аналитики threat intelligence, такие как Infrawatch, идентифицируют инфраструктуру GhostSocks, отслеживая варианты подключения C2 и операционное поведение, характерное для прокси-сервисов backconnect. Это подчеркивает растущую коммерциализацию хакеров, которые легко взаимодействуют с другими инфокрадами.

Важно отметить, что сложный характер развертывания GhostSocks и простота доступа благодаря модели MaaS делают его ключевым инструментом для киберпреступников. Организациям рекомендуется использовать целенаправленные стратегии обнаружения и отслеживания поведенческих маркеров C2, чтобы защититься от угроз, исходящих от GhostSocks и аналогичных программ.

Заключение

Инцидент с GhostSocks подчеркивает необходимость принятия надежных мер кибербезопасности, которые будут упреждать выявление и устранение возникающих угроз в киберпространстве.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: