В октябре 2023 года на русскоязычном криминальном форуме появилась вредоносная программа GhostSocks – SOCKS5 backconnect proxy на базе Golang. С тех пор она смогла распространиться на англоязычные форумы в 2024 году, становясь значительным игроком на рынке вредоносного ПО.
Особенности GhostSocks
GhostSocks разработан для работы как на платформе Microsoft Windows, так и на Linux, и в основном предлагается как malware as a service (MaaS). Это облегчает его развертывание и интеграцию с другими типами вредоносных программ, такими как LummaC2.
Функциональные возможности
Интеграция между GhostSocks и Lumma включает в себя:
- Автоматическую подготовку к заражению Lumma;
- Скидки для владельцев лицензий Lumma;
Эти функции увеличивают операционные возможности вредоносного ПО и вероятность кражи учетных данных, обходя меры по борьбе с мошенничеством.
Структура и механизмы работы
После инициализации GhostSocks создает встроенную структуру конфигурации, состоящую из жестко заданных и динамически вычисляемых значений. Эти данные затем шифруются и сохраняются в зараженной системе.
Для обмена данными с фронтом управления (C2) GhostSocks использует простую HTTP API реализацию на основе ретрансляции. Сервер ретрансляции связывает вредоносное ПО с его реальной инфраструктурой C2. Аутентификация в запросах к C2 выполняется с помощью псевдослучайной буквенно-цифровой строки.
Угроза и последствия
GhostSocks позволяет злоумышленникам:
- Обходить ограничения по геолокации;
- Управлять скомпрометированными системами;
- Защищать источники своих вредоносных действий.
Также программа включает в себя возможности бэкдора, которые упрощают выполнение произвольных команд и загрузку исполняемых файлов. Это значительно увеличивает вероятность злоупотребления учетными данными.
Анализ и рекомендации по защите
Аналитики threat intelligence, такие как Infrawatch, идентифицируют инфраструктуру GhostSocks, отслеживая варианты подключения C2 и операционное поведение, характерное для прокси-сервисов backconnect. Это подчеркивает растущую коммерциализацию хакеров, которые легко взаимодействуют с другими инфокрадами.
Важно отметить, что сложный характер развертывания GhostSocks и простота доступа благодаря модели MaaS делают его ключевым инструментом для киберпреступников. Организациям рекомендуется использовать целенаправленные стратегии обнаружения и отслеживания поведенческих маркеров C2, чтобы защититься от угроз, исходящих от GhostSocks и аналогичных программ.
Заключение
Инцидент с GhostSocks подчеркивает необходимость принятия надежных мер кибербезопасности, которые будут упреждать выявление и устранение возникающих угроз в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GhostSocks: Угроза нового поколения в киберпреступности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.