GhostWeaver RAT
A DERP Research elemzése a GhostWeaver, PowerShell-alapú RAT-ot mutatja be, amelyet a TAG-124 néven követett fenyegetési szereplő használ többfázisú malware-kampányokban. A műveletek célja jellemzően a fertőzött rendszerek feletti tartós kontroll megszerzése, valamint további payloadok telepítése és adatgyűjtés. A kampány technikai jellemzői arra utalnak, hogy a támadók automatizált terjesztési infrastruktúrát és több rétegű fertőzési láncot alkalmaznak a detektálás elkerülése érdekében.
A fertőzési folyamat általában egy traffic distribution system (TDS) infrastruktúrán keresztül indul. A TAG-124 kompromittált weboldalakat használ arra, hogy rosszindulatú JavaScript kódot injektáljon az oldalakba. A látogatók így hamis frissítési oldalakra, például ál Google Chrome update felületekre kerülnek, amelyek valójában malware-terjesztési pontként működnek. A felhasználó által letöltött állomány egy többlépcsős loader-láncot indít el, amelynek egyik kulcseleme a MintsLoader nevű malware-loader.
A loader a fertőzött rendszeren több lépésben futtat obfuszkált kódot, gyakran JavaScript és PowerShell kombinációjával. A PowerShell-szkriptek feladata a környezet ellenőrzése, a sandbox- vagy virtuális környezetek kiszűrése, valamint a következő payload letöltése. A végső komponens a GhostWeaver RAT, amely memóriából futtatott PowerShell modulok segítségével épít ki C2 kapcsolatot a támadó infrastruktúrával. A kommunikáció tipikusan HTTP-alapú csatornán történik, gyakran titkosított vagy obfuszkált adatcsomagokkal.
A GhostWeaver fő funkciói közé tartozik a rendszerinformációk gyűjtése, parancsok távoli végrehajtása, további payloadok letöltése és futtatása, valamint a fertőzött gép használata további támadásokhoz. A kártevő PowerShell-alapú megvalósítása lehetővé teszi, hogy a támadók a Windows rendszerek natív adminisztrációs eszközeit használják ki, ami jelentősen csökkenti a hagyományos antivírus-detekció esélyét. A kártevőhöz kapcsolódó tanúsítvány- és infrastruktúra-minták bizonyos esetekben hasonlóságot mutattak más RAT-családokkal, például az AsyncRAT egyes variánsaival, ami kezdetben félrevezethette az elemzőket a malware család azonosításakor.
