PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

admin
admin
admin
138858
文章
114
评论
2025年1月6日11:41:33评论37 views字数 3918阅读13分3秒阅读模式

导 

网络安全研究人员发现一种名为PLAYFULGHOST的新恶意软件,它具有多种信息收集功能,例如键盘记录、屏幕捕获、音频捕获、远程 shell 以及文件传输/执行。

据谷歌安全团队称,该后门与一种名为Gh0st RAT 的已知远程管理工具在功能上存在重叠,后者的源代码于 2008 年被公开泄露。

PLAYFULGHOST 的初始访问途径包括使用带有行为准则相关诱饵的网络钓鱼电子邮件或搜索引擎优化 (SEO) 投毒技术来分发 LetsVPN 等合法 VPN 应用程序的木马版本。

在一个网络钓鱼案例中,感染首先诱骗受害者打开一个伪装成图像文件的恶意 RAR 存档,并使用 .jpg 扩展名。

当受害者提取并执行该存档时,该存档会释放一个恶意的 Windows 可执行文件,最终从远程服务器下载并执行 PLAYFULGHOST。

另一方面,采用 SEO 投毒的攻击链试图欺骗毫无戒心的用户下载带有恶意软件的 LetsVPN 安装程序,该安装程序在启动时会投放负责检索后门组件的临时有效载荷

该感染利用 DLL 搜索顺序劫持和侧载等方法来启动恶意 DLL,然后用于解密并将 PLAYFULGHOST 加载到内存中。

Mandiant 表示,它还观察到一个“更复杂的执行场景”,其中 Windows 快捷方式(“QQLaunch.lnk”)文件结合了另外两个名为“h”和“t”的文件的内容来构建恶意 DLL,并使用重命名版本的“curl.exe”对其进行侧载。

PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

PLAYFULGHOST 能够使用四种不同的方法在主机上设置持久性:运行注册表项、计划任务、Windows 启动文件夹和 Windows 服务。

它拥有一套广泛的功能,可以收集大量数据,包括击键、屏幕截图、音频、QQ帐户信息、已安装的安全产品、剪贴板内容和系统元数据。

它还具有投放更多有效载荷、阻止鼠标和键盘输入、清除 Windows 事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和Google Chrome等网络浏览器相关的缓存和配置文件以及擦除Skype、Telegram和QQ等消息应用程序的配置文件和本地存储等功能。

通过 PLAYFULGHOST 部署的其他工具包括 Mimikatz 和能够隐藏威胁组织指定的注册表、文件和进程的 rootkit。

与 PLAYFULGHOST 组件一起下载的还有一个名为Terminator的开源实用程序,它可以通过自带易受攻击的驱动程序 ( BYOVD ) 攻击来终止安全进程。

Mandiant 发现 PLAYFULGHOST 有效载荷嵌入在 BOOSTWAVE 中。BOOSTWAVE 是一种 shellcode,可充当附加可移植可执行 (PE) 有效载荷的内存植入程序。

恶意攻击针对搜狗、QQ 和 360 安全等应用程序以及使用 LetsVPN 诱饵,这些感染可能针对的是讲中文的 Windows 用户。

2024 年 7 月,加拿大网络安全供应商 eSentire披露了一项类似的活动,该活动利用 Google Chrome 的虚假安装程序,使用名为 Gh0stGambit 的植入程序传播 Gh0st RAT。

技术报告:

https://www.googlecloudcommunity.com/gc/Community-Blog/Finding-Malware-Unveiling-PLAYFULGHOST-with-Google-Security/ba-p/850676

https://www.esentire.com/blog/a-dropper-for-deploying-gh0st-rat

新闻链接:

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html

PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

今日安全资讯速递

APT事件

Advanced Persistent Threat

伊朗和俄罗斯实体因利用人工智能和网络战术干预选举而受到制裁

https://thehackernews.com/2025/01/iranian-and-russian-entities-sanctioned.html

美国财政部远程支持平台遭到入侵

https://www.bleepingcomputer.com/news/security/us-treasury-department-breached-through-remote-support-platform/

乌克兰国家登记处遭受网络攻击,婚姻登记和房地产交易中断

https://therecord.media/cyberattack-on-ukraine-state-register-disrupts-real-estate-marriages

Cloud Atlas 部署 VBCloud 恶意软件:超过 80% 的目标位于俄罗斯

https://thehackernews.com/2024/12/cloud-atlas-deploys-vbcloud-malware.html

曹县APT组织利用虚假工作机会部署新型“OtterCookie”恶意软件针对开发人员

https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/

曹县LazarusAPT组织被发现利用 CookiePlus 恶意软件攻击核工程师

https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html

曹县黑客今年窃取了价值 13 亿美元的加密货币

https://www.bleepingcomputer.com/news/security/north-korean-hackers-stole-13-billion-worth-of-crypto-this-year/

日美指责曹县黑客抢劫 3.08 亿美元加密货币

https://www.infosecurity-magazine.com/news/us-japan-north-korea-crypto-heist/

伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体

https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html

一般威胁事件

General Threat Incidents

PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html

恶意 npm 软件包瞄准以太坊开发者

https://securityaffairs.com/172671/malware/malicious-npm-packages-target-ethereum-developers.html

新的 FireScam Android 数据窃取恶意软件伪装成 Telegram Premium 应用程序

https://www.bleepingcomputer.com/news/security/new-firescam-android-data-theft-malware-poses-as-telegram-premium-app/

糟糕的 Tenable 插件更新导致全球 Nessus 代理瘫痪

https://www.bleepingcomputer.com/news/security/bad-tenable-plugin-updates-take-down-nessus-agents-worldwide/

DDoS 攻击破坏了日本移动巨头 Docomo

https://www.infosecurity-magazine.com/news/ddos-disrupts-japanese-mobile/

攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell

https://www.securityweek.com/four-faith-industrial-router-vulnerability-exploited-in-attacks/

漏洞事件

Vulnerability Incidents

研究人员发现可绕过签名和执行代码的 Nuclei 漏洞

https://thehackernews.com/2025/01/researchers-uncover-nuclei.html

ESET敦促Win10 用户升级到Win11 Linux,以避免“安全灾难”

https://www.bleepingcomputer.com/news/microsoft/windows-10-users-urged-to-upgrade-to-avoid-security-fiasco/

不安全的物联网云再次来袭:Reyee平台连接设备遭 RCE 攻击

https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices

PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月6日11:41:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播,研究人员推测其目标是中文用户https://cn-sec.com/archives/3595791.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息