Целевые атаки на Тайване от Infamous RAT Gh0st

Ваш отзыв

BKDR_GHOST (иои RAT Gh0st или TROJ_GHOST), известный Троян удаленного доступа, обычно используется для атаки, и широко известен как инструмент киберпреступников.

В этой конкретной атаке, злоумышленники доставляли BKDR_GHOST ничего не подозревающим целям через собственный фишинговые письма, которые содержали ссылку, где вредоносная программа автоматически загружалась. Она представляется как Тайваньское Бюро Национальной медицинской страховой службой, что делаут e-mail достаточно убедительным, чтобы заставить цель перейти по ссылке.

Чтобы избежать лёгкого обнаружения, злоумышленники разработали письма, содержащие эту ссылку, которая перенаправляет пользователей на определённый сайт и автоматически загружает RAR архив. Кроме того, в целях дальнейшего убеждения, мошенники используют старый трюк с переименованием файлов (ставят пробелы в названиях между DOC и EXE). Это всё ещё эффективный метод!

Как только пользователь… (читать далее)

Как только пользователь открывает вредоносную программу, которая представляет собой исполняемый файл, происходят следующие действия:

  • % WINDIR%\Addins\CORPORATION.VBS (обнаружен как VBS_GHOST) — выполняет скрипт установки Gh0st RAT (AMICROSOFT.VBS)
  • % System%\Addins\AMICROSOFT.VBS (обнаружен как VBS_GHOST) — извлекает защищённые паролем Gh0st RAT архив (f2o.zip)
  • % System%\Addins\Atask.bat (обнаружены как BAT_GHOST) — ищет и записывает следующие файлы с выделенных компонентов RAT Gh0st:
    • Adobearm.exe
    • jusched.exe
    • Reader_sl.exe
  • % System%\Addins\f2o.zip — содержит 2 варианта BKDR_GHOST выполняющих аналогичные вредоносного поведения:
    • put.exe (Определен как BKDR_GHOST)
    • cd.exe (Определен как BKDR_GHOST)

В попытке быть незаметным, BKDR_GHOST хранит в защищенном паролем файле из архива (f2o.zip) пароли, которые можно найти внутри AMICROSOFT.VBS сценария установки. После того как  BKDR_GHOST выполнится, нападавшие получают полный доступ на зараженной системе для выполнения своих преступных действий и получение данных, вроде личной информации.

SIB_130619comment011

 

SIB_130619comment024

 

Чтобы не стать жертвой таких атак, рекомендуем пользователям быть всегда осторожным, прежде чем открывать любые вложения или кликать по ссылкам, содержащихся в сообщениях электронной почты. Это довольно обычное для злоумышленников подмена государственных учреждений и других учреждений, таким образом, пользователи должны проверить достоверность электронного адреса, которые они получают.

Possibly Related Posts:


Эксперт сообщества Вадим Мезенцев

Выпускник кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана

Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

  1. Отзывов нет