SOC Prime Bias: Середній

21 Apr 2026 15:16 UTC

Не просто настирливі оголошення: зв’язки рекламного програмного забезпечення, що доставляють Gh0st RAT

Author Photo
SOC Prime Team linkedin icon Стежити
Не просто настирливі оголошення: зв’язки рекламного програмного забезпечення, що доставляють Gh0st RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Нещодавня кампанія поширює Gh0st Remote Access Trojan разом з компонентом рекламного програмного забезпечення CloverPlus. Його завантажувач приховує два зашифровані ресурси, записує їх у випадкові місця та запускає RAT через rundll32.exe. Шкідливе програмне забезпечення поєднує кілька методів збереження доступу з маніпуляцією токенами, захопленням DNS і клавіатурного журналювання, щоб зберегти доступ протягом часу, одночасно генеруючи дохід через зловживання кліками на рекламу. Використання легітимних бінарних файлів Windows і багатошарової обфускації ускладнює виявлення.

Розслідування

Команда досліджень загроз Splunk зробила реверс-інженеринг завантажувача та підтвердила, що він містить вбудовані Gh0st RAT DLL та модуль реклами CloverPlus. Поведінковий аналіз виявив підвищення привілеїв через токени, перевірки реєстру для VMware-середовищ, використання dead-drop резолвера, затримки сну на основі ping, спуфінг DNS та множинні техніки збереження, що закорінені в реєстр Windows. Слідчі також задокументували індикатори, включаючи незвичайні rundll32.exe виконання, запуск пейлоадів з %temp%, та специфічні модифікації реєстру, пов’язані з ланцюгом інфікування.

Усунення

Захисники повинні моніторити rundll32.exe завантаження файлів з незвичними розширеннями або виконання вмісту з нестандартних директорій. Команди безпеки повинні блокувати або попереджувати про створення вхід до реєстру керування маршрутизатором RemoteAccess та підозрілі зміни ключів Run. Мережеві контроли повинні обмежити доступ до визначеної dead-drop резолвер-URL і сигналізувати поведінку затримок на основі ping, пов'язану з ухилянням від шкідливих програм. Політики керування застосунками можуть зменшити ризик, запобігаючи завантаженням несанкціонованих DLL. router manager registry entry and suspicious changes to Run keys. Network controls should restrict access to the identified dead-drop resolver URL and flag ping-based sleep behavior associated with malware evasion. Application control policies can further reduce risk by preventing unauthorized DLLs from being loaded.

Відповідь

Коли ця активність виявлена, ізолюйте уражений хост, зберіть напівпостійні докази разом з підозрілими DLL та виконайте перевірки по хешах, щоб підтвердити загрозу. Видаліть будь-які шкідливі записи реєстру та служби, використані для збереження доступу. Скидайте потенційно скомпрометовані облікові дані, особливо ті, що пов’язані з використанням RDP, та перевіряйте налаштування DNS і файл hosts на наявність несанкціонованих змін. Проведіть повний судово-експертний огляд, щоб переконатися, що додаткові бекдори або вторинні компоненти не залишилися.

Потік атак

Імітація

Ми все ще оновлюємо цю частину. Зареєструйтеся, щоб отримати сповіщення

Повідомити мене