PylangGhost: Nova GolangGhost RAT varijanta

AUTOR ·

Pojava PylangGhost, Python varijante ozloglašenog trojanca za udaljeni pristup (eng. remote access trojan – RAT) GolangGhost, ima značajne implikacije za stručnjake za sajber bezbjednost širom sveta. Ovaj novi razvoj događaja naglašava evoluirajuću prirodu sajber prijetnji, gdje zlonamjerni akteri kontinuirano prilagođavaju i usavršavaju svoje taktike kako bi izbjegli otkrivanje.

PylangGhost

PylangGhost: Nova GolangGhost RAT varijanta; Source: Bing Image Creator

EVOLUCIJA ALATA ZA HAKOVANJE

Nedavno su sigurnosni istraživači istraživači Cisco Talos otkrili kritičnu evoluciju u alatima grupe za prijetnje povezane sa Sjevernom Korejom, poznate kao Famous Chollima. Ovaj napredni hakerski kolektiv aktivno koristi dvostruku varijantu kampanje trojanca za udaljeni pristup (RAT), usmjerenu na Windows i MacOS platforme.

Trojanca za udaljeni pristup (RAT), poznat po imenu GolangGhost zbog svoje originalne verzije zasnovane na programskom jeziku Golang, sada je dopunjen novootkrivenom varijantom zasnovanom na Python programskom jeziku pod nazivom PylangGhost. Dok je GolangGhost RAT odavno poznat po infiltraciji u MacOS okruženja, pojava PylangGhost zlonamjernog softvera označava strateško širenje operacija zlonamjernih aktera na Windows sisteme. Ovaj razvoj događaja ističe prilagodljivost grupe i spremnost da evoluira svoju taktiku kao odgovor na primjenljive pejzaže sajber bezbjednosti.

Korištenjem i GolangGhost i PylangGhost zlonamjernog softvera, ova grupa zlonamjernih aktera može ciljati širi spektar žrtava na različitim operativnim sistemima. Ova strategija im omogućava da iskoriste ranjivosti na više frontova, povećavajući vjerovatnoću uspješnih napada. Osim toga, pojava PylangGhost zlonamjernog softvera sugeriše da Famous Chollima možda preusmjerava svoj fokus ka ciljevima zasnovanim na Windows operativnim sistemima, što potencijalno ukazuje na povećano interesovanje za kriptovalute i sredstva povezana sa ulančanim blokovima (eng. blockchain).

 

PylangGhost zlonamjerni softver

PylangGhost se odnosi na zlonamjernu strukturu modula zasnovanu na Python programskom jeziku koja je identifikovana kao dio šire kampanje zlonamjernog softvera usmjerene na Windows i MacOS operativne sisteme. Ovaj strukturirani pristup omogućava izvršavanje različitih zadataka kao što su uspostavljanje postojanosti, generisanje globalno jedinstvenih identifikatora (eng. globally unique identifier – GUID) i komunikacije sa serverima za komandovanje i kontrolu (C2).

Struktura modula PylangGhost odražava strukturu svog pandana zasnovanog na Golang programskom jeziku, što sugeriše blisko povezan razvojni tim koji stoji iza obije varijante. Ova gotovo identična arhitektura podrazumijeva koordinisane napore za razvoj i implementaciju zlonamjernog softvera usmjerenog na određene industrije ili grupe korisnika.

Struktura modula PylangGhost sastoji se od šest dobro definisanih modula koji omogućavaju daljinsku kontrolu sistema, manipulaciju datotekama i krađu akreditiva iz preko 80 proširenja internet pregledača, uključujući istaknute novčanike za kriptovalute i menadžere lozinki. Ovaj višeslojni pristup omogućava zlonamjernom softveru da se prilagodi različitim scenarijima i izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama.

 

Napad kroz lažno zapošljavanje

Zlonamjerni akteri Famous Chollima u ovoj kampanji koriste obmanjujuće internet portale za regrutaciju kako bi ciljali profesionalce sa stručnošću u oblasti kriptovaluta i tehnologije ulančanih blokova. Ovi lažni portali za posao predstavljaju se kao legitimne kompanije prestižne u kripto i softverskoj industriji, uključujući Coinbase, Robinhood, Uniswap i druge. Cilj je stvoriti osjećaj povjerenja među potencijalnim žrtvama koje su željene da pokažu svoje vještine i iskustvo. Ove platforme pozivaju profesionalce da dostave lične podatke i popune detaljne upitnike za procjenu vještina koji se nalaze na internet okvirima zasnovanim na React tehnologiji.

Pitanja postavljena u ovim procjenama mogu se kretati od tehničkih upita vezanih za programske jezike, strukture podataka i algoritme do opštijeg znanja o proizvodima ili uslugama kompanije. Zlonamjerni akteri su se mnogo potrudili da ovi lažni portali za posao izgledaju autentično, često koristeći ubjedljive logotipe, brendiranje, pa čak i svjedočanstva “zadovoljnih zaposlenih”. Ovaj nivo sofisticiranosti je osmišljen da uspava žrtve u lažni osjećaj sigurnosti, čineći ih manje sklonim da posumnjaju da nešto nije u redu.

Nakon što je upitnik za procjenu vještina popunjen, od meta se traži da snime video intervju. Na prvi pogled, ovo može izgledati kao bezopasan zahtev potencijalnih poslodavaca koji žele da steknu bolji uvid u komunikacijske vještine i osobine ličnosti svojih kandidata. Međutim, u stvarnosti, upravo u ovom koraku zlonamjerni akteri isporučuju svoj trojanca za udaljeni pristup (RAT).

Stranica za podešavanje kamere koja se prikazuje nakon što se odgovori na pitanja služi kao mamac za raspoređivanje trojanca za udaljeni pristup (RAT). Nakon zahteva za pristup kameri, korisnici dobijaju uputstva za izvršavanje zlonamjernih komandnih linija prilagođenih njihovom operativnom okruženju – PowerShell ili Command Shell na Windows operativnom sistemu, Bash na MacOS operativnom sistemu koji preuzimaju i instaliraju korisni teret – trojanca za udaljeni pristup pod maskom ažuriranja upravljačkog softvera za video.

Ove komande su prilagođene na osnovu digitalnog otiska internet pregledača kako bi se izbjeglo otkrivanje i povećala efikasnost infekcije. Korištenje digitalno otiska internet pregledača je pametna taktika koju koriste zlonamjerni akteri da prilagode svoj zlonamjerni softver određenim operativnim sistemima i internet pregledačima koje koriste žrtve. Ovo osigurava da čak i ako neki korisnici posumnjaju na nešto sumnjivo, možda neće moći da precizno utvrde tačnu prirodu prijetnje zbog njenog prilagođenog dizajna za njihovo konkretno okruženje.

Implementacija trojanca za udaljeni pristup je posljednji korak u ovom lancu napada. Jednom instalirani, zlonamjerni akteri dobijaju neograničen pristup uređajima žrtava, što im omogućava da ukradu osjetljive informacije, instaliraju dodatni zlonamjerni softver ili čak daljinski preuzmu kontrolu nad sistemima.

 

Tehničke mogućnosti

Proces infekcije počinje prilično nevino – preuzimanjem ZIP arhive koja sadrži različite Python module i Visual Basic Script (VBS) ubacivače. VBS skripta zatim raspakuje Python okruženje i pokreće trojanca za udaljeni pristup koristeći prikrivenu Python skriptu pod nazivom nvidia.py. Jednom izvršena, ova skripta konfiguriše trajne unose za automatsko pokretanje sistema, generiše globalne jedinstvene identifikatore (GUID) za C2 komunikaciju i uspostavlja šifrovane HTTP kanale sa udaljenim serverima.

Mogućnosti PylangGhost zlonamjernog softvera su dalekosežne i trebalo bi da ih ozbiljno shvate organizacije koje rukuju osjetljivim podacima, posebno one u oblasti kriptovaluta. Trojanac za udaljeni pristup implementira komandnu petlju koja sluša instrukcije za sprovođenje špijunskih aktivnosti, uključujući otpremanje/preuzimanje datoteka, izvršavanje komandne linije operativnog sistema i opsežnu krađu pristupnih podataka. Mogućnosti krađe pristupnih podataka su posebno uticajne: trojanac za udaljeni pristup izvlači sačuvane kolačiće, lozinke i podatke o sesijama iz preko 80 proširenja internet pregledača, posebno ciljajući kriptovalute novčanike i menadžere lozinki kao što su MetaMask, 1Password, NordPass, Phantom i TronLink.

Tehnička analiza PylangGhost zlonamjernog softvera otkriva da Python i Golang verzije djele gotovo identične module koji obavljaju osnovne funkcije rukovanja konfiguracijom, obrade komandi, automatizovanog prikupljanja pristupnih podataka, uslužnih programa za kompresiju i komunikacionih protokola. Ovo sugeriše jedan razvojni tim ili zlonamjerne aktere koji tijesno sarađuju u obije varijante.

Komunikacija sa komandno-kontrolnim (C2) serverima koju koristi PylangGhost posebno je značajna — oslanja se na RC4 šifrovanje preko inače otvorenog HTTP protokola, pri čemu se RC4 ključ ugrađuje direktno u paket zajedno sa MD5 kontrolnom sumom radi očuvanja integriteta podataka. Ovakav pristup omogućava zlonamjernom softveru da zadrži povjerljivost i autentičnost komunikacije sa udaljenim serverima, dok ujedno smanjuje vjerovatnoću otkrivanja putem uobičajenih bezbjednosnih mjera.

Osim toga, detaljnijim ispitivanjem arhitekture PylangGhost zlonamjernog softvera otkriva se da je on dizajniran da bude veoma prilagodljiv i otporan – sposoban da izvršava različite zadatke kao odgovor na promjenljive uslove mreže ili ponašanje korisnika. Ova prilagodljivost čini zlonamjerni softver posebno teškim za otkrivanje i ublažavanje konvencionalnim sredstvima.

 

Uticaj

Uticaj PylangGhost zlonamjernog softvera na sajber bezbjednost je značajan problem. Tehničke mogućnosti PylangGhost zlonamjernog softvera omogućavaju daljinsku kontrolu sistema, manipulaciju datotekama i krađu akreditiva iz preko 80 proširenja internet pregledača. Ovo uključuje kriptovalute novčanike i menadžere lozinki. Funkcionalnost trojanca za udaljeni pristup je dokaz evoluirajuće prirode sajber prijetnji, gdje zlonamjerni akteri kontinuirano prilagođavaju svoje taktike kako bi izbjegli otkrivanje.

Obavještajni podaci otvorenog kôda sugerišu da je PylangGhost do sada imao ograničen uticaj, sa samo malim brojem pogođenih korisnika, pretežno u Indiji. Podaci Cisco telemetrije ukazuju da nijedan korisnik nije pogođen ovom prijetnjom. Uprkos relativno ograničenom obimu, pojava PylangGhost zlonamjernog softvera služi kao podsjetnik na stalnu potrebu za robusnim mjerama sajber bezbjednosti.

Gotovo identične strukture modula i konvencije imenovanja između PylangGhost zlonamjernog softvera i GolangGhost zlonamjernog softvera ukazuju na blisko povezan razvojni tim koji stoji iza obije varijante. Ovaj nivo koordinacije naglašava sofisticiranost modernih sajber prijetnji i ističe važnost opreznosti u pogledu društveno inženjerskih napada.

 

FAMOUS CHOLLIMA

Zlonamjerni akteri koje djeluju pod nazivom Famous Chollima su grupa pojedinaca koje sponzoriše sjevernokorejska vlada kako bi se bavili aktivnostima sajber kriminala usmjerenim na obezbjeđivanje mogućnosti za posao na daljinu u zapadnim zemljama. Grupa je još poznata i pod nazivima Contagious Interview, WageMole, Nickel Tapestry, Storm-1877, UNC5267 i Void. Primijećeno je da ova grupa aktivna najmanje od 2018. godine i poznata je po svom sofisticiranom pristupu društvenom inženjeringu. Koriste ukradene lične podatke iz raznih kampanja kako bi kreirali lažne identitete koji na površini djeluju legitimno.

Jedna od glavnih taktika koju koristi Famous Chollima je kreiranje dobro strukturiranih odgovora korišćenjem generativne vještačke inteligencije. Ovo im omogućava da kreiraju vodiče za učenje za intervjue i pripreme odgovore koji su prilagođeni specifičnim zahtevima posla. Cilj ovdje nije samo obezbjeđivanje udaljenog položaja, već i dobijanje pristupa osjetljivim informacijama unutar organizacije.

Aktivnosti Famous Chollima su primijećene na raznim platformama za posao, uključujući Upwork i Indeed. Oni koriste skripte za automatizaciju da bi kreirali više naloga u brzom nizu, što otežava timovima za bezbjednost da otkriju njihovo prisustvo. Kada uđu u sistem, nastavljaju da djele pristup sa drugim članovima svoje grupe, dodatno učvršćujući svoju poziciju unutar organizacije.

Zlonamjerni akteri se takođe bave finansijskim transakcijama koristeći platforme poput PayPal, što im omogućava da sakriju svoj pravi identitet i održe nivo anonimnosti. Ovo je ključno za njihovo poslovanje, jer im omogućava da izbjegnu otkrivanje od strane bezbjednosnih timova, a istovremeno im omogućava da naplaćuju uplate od nesvjesnih klijenata.

Primarna meta Famous Chollima grupe zlonamjernih aktera su izgleda mala i srednja preduzeća koja možda nemaju isti nivo mjera sajber bezbjednosti u poređenju sa većim korporacijama. Ove organizacije se često oslanjaju na procese zapošljavanja na daljinu, što stvara priliku da Famous Chollima infiltrira njihove sisteme i dobije pristup osjetljivim informacijama.

Jednom kada se infiltriraju u organizaciju, zlonamjerni akteri koriste mrežu prenosivih računara raspoređenih na različitim lokacijama kako bi prikrili svoju pravu geografsku poziciju, stvarajući utisak da rade iz zemalja poput Filipina ili Indije. Ovakva taktika im omogućava da primaju platu dok u pozadini prikupljaju ključne informacije o IT infrastrukturi organizacije — koje kasnije mogu biti iskorišćene za prodaju ili direktnu zloupotrebu. Korišćenje lažnih identiteta i odgovora generisanih vještačkom inteligencijom omogućava ovim zlonamjernim akterima da se besprijekorno uklope u proces zapošljavanja kompanije. Zbog toga je bezbjednosnim timovima teško da otkriju njihovo prisustvo dok već nije načinjena značajna šteta.

Famous Chollima nije jedina grupa koja djeluje pod okriljem državno sponzorisanog sajber kriminala, ali je svakako jedna od najsofisticiranijih i najaktivnijih u ovoj oblasti. Njena sposobnost da se prilagodi i evoluira tokom vremena omogućava joj da budu ispred bezbjednosnih mjera koje uvode organizacije koje žele da se zaštite od takvih prijetnji.

Činjenica da je Famous Chollima grupa uspela da se infiltrira u više od 150 kompanija u različitim industrijama svjedoči o njihovoj efikasnosti kao zlonamjernih aktera. To takođe ističe potrebu za povećanom budnošću i svešću o sajber bezbjednosti među preduzećima, posebno onima koja posluju u manjim razmjerama gdje resursi mogu biti ograničeni.

 

ZAKLJUČAK

Pojava PylangGhost zlonamjernog softvera služi kao dobar podsjetnik da se sajber prijetnje nastavljaju razvijati u skladu sa tehnološkim napretkom. Činjenica da je ovaj zlonamjerni softver bio u stanju da izbjegava otkrivanje govori mnogo o njegovoj sofisticiranosti i prilagodljivosti. Dok stručnjaci za sajber bezbjednost neumorno rade kako bi bili korak ispred ovih prijetnji koje se razvijaju, jasno je da će se borba između bezbjednosnih mjera i zlonamjernih namjera samo pojačati.

Razvojni tim koji stoji iza PylangGhost zlonamjernog softvera, kao i GolangGhost zlonamjernog softvera, izgleda dobro upućen u iskorišćavanje ranjivosti ne samo u softveru već i u ljudskoj psihologiji. Ovo postavlja važna pitanja o tome kako sajber bezbjednost može bolje da se pozabavi ovim aspektom – posebno kroz obrazovne kampanje usmjerene na podizanje svesti među korisnicima o taktikama koje zlonamjerni akteri koriste da ih obmanjuju i manipulišu.

Na kraju krajeva, samo uz zajednički napor svih zainteresovanih strana moguće je efikasno da se ublaže ove prijetnje. Kako se PylangGhost nastavlja razvijati zajedno sa svojim Golang pandanom, jedno ostaje sigurno: stručnjaci za sajber bezbjednost moraju ostati na oprezu u svom nastojanju da razumiju mogućnosti ovog zlonamjernog softvera – da ne bi postali žrtve upravo onih taktika koje koriste sami zlonamjerni akteri.

Činjenica da obavještajni podaci iz otvorenih izvora ukazuju na ograničen uticaj do sada, ne umanjuje potencijal za široko rasprostranjenu štetu. Dok se nastavljamo nositi sa sve složenijim pejzažnom prijetnji, ključno je da sve zainteresovane strane rade zajedno na stvaranju efikasnijih bezbjednosnih mjera i obrazovnih kampanja usmjerenih na podizanje svesti među korisnicima o ovim prijetnjama koje se stalno razvijaju.

 

ZAŠTITA

Da bi se efikasno suprotstavili prijetnji koju predstavlja PylangGhost, neophodan je sveobuhvatan pristup. Evo nekoliko preporuka za zaštitu:

  1. Organizacije i pojedinci moraju dati prioritet bezbjednosnim protokolima kako bi spriječili početne vektore pristupa koje PylangGhost iskorištava. Ovo uključuje održavanje ažurnih operativnih sistema, softverskih ispravki i antivirusnih rješenja;
  2. Taktika društvenog inženjeringa oslanja se na ljudsko povjerenje, stoga je edukacija korisnika o opasnostima klikanja na sumnjive veze ili preuzimanja priloga iz nepoznatih izvora ključna u sprečavanju početnog pristupa PylangGhost zlonamjernog softvera;
  3. Koristiti renomirani i pouzdani softver za sajber bezbjednost koji može da detektuje i spriječi infekcije zlonamjernim softverom poput PylangGhost zlonamjernog softvera. Redovno ažurirati ova rješenja kako bi se osiguralo da ostanu efikasna protiv novih prijetnji;
  4. Sprovoditi temeljne analize rizika sistema, mreža i aplikacija kako bi se identifikovale potencijalne ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koristeći PylangGhost zlonamjerni softver ili slične prijetnje;
  5. Razvijte plan odgovora na sajber prijetnju koji opisuje procedure za reagovanje na bezbjednosne incidente koji uključuju zlonamjerni softver poput PylangGhost zlonamjernog softvera. Ovo uključuje obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;
  6. Osigurati da je sva komunikacija između sistema ili korisnika šifrovana korištenjem renomiranih metoda šifrovanja kao što je HTTPS/TLS kako bi se spriječilo presretanje osjetljivih podataka od strane zlonamjernog aktera koji koriste PylangGhost zlonamjerni softver;
  7. Implementirajte robusnu strategiju rezervnih kopija koja uključuje redovne rezervne kopije bitnih datoteka i konfiguracija, osiguravajući kontinuitet poslovanja u slučaju napada koji uključuje zlonamjerni softver poput PylangGhost zlonamjernog softvera;
  8. Koristite jake metode autentifikacije kao što je autentifikacija u više koraka (eng. multi-factor authentication – MFA) kako kako bi se spriječio neovlašteni pristup sistemima ili aplikacijama koje su zlonamjerni akteri ugrozili koristeći PylangGhost zlonamjerni softver;
  9. Redovno pregledati sistemske evidencije i pratiti mrežni saobraćaj u potrazi za sumnjivim aktivnostima koje bi mogle ukazivati na prisustvo zlonamjernog softvera poput PylangGhost zlonamjernog softvera;
  10. Uspostavite skup bezbjednosnih konfiguracija za sve uređaje, sisteme ili aplikacije kako bi se prepriječili zlonamjerni akteri da iskoriste ranjivosti u podrazumijevanim podešavanjima koje iskorištava PylangGhost zlonamjerni softver;
  11. Osigurajte da se sav softver i usluge nabavljaju preko pouzdanih izvora, izbjegavajući piratske kopije koje bi mogle da sadrže zlonamjerni softver poput PylangGhost zlonamjernog softvera;
  12. Ograničiti korisničke privilegije i primijeniti principe najmanje privilegija dajući samo neophodne dozvole potrebne za svakog korisnika kako bi mogao obaviti svoj posao, smanjujući potencijalnu površinu napada u slučaju infekcije. Primjena principa najmanjih privilegija (eng. principle of least privilege – PoLP) pomaže da se smanji šteta uzrokovana zlonamjernim softverom kao što je PylangGhost.

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik od postajanja žrtvama napada koji koriste zlonamjerni softver poput PylangGhost zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.