Slevová nabídka pro více licencí
Databáze hrozeb Phishing FANTOMPULS KRYS

FANTOMPULS KRYS

V roce Mezo v roce Phishing, Nástroje pro vzdálenou správu
Přeložit do:

Objevila se sofistikovaná kampaň sociálního inženýrství, která využívá Obsidian jako výchozí přístupový vektor k nasazení dříve nezdokumentovaného trojského koně pro vzdálený přístup k systému Windows, známého jako PHANTOMPULSE. Kampaň se konkrétně zaměřuje na jednotlivce působící ve finančním sektoru a sektoru kryptoměn a využívá důvěry v legitimní nástroje k obcházení tradičních bezpečnostních očekávání.

Operace REF6598: Podvod prostřednictvím profesionálních sítí

Tato kampaň, označená výzkumníky v oblasti kybernetické bezpečnosti jako REF6598, využívá pokročilé techniky sociálního inženýrství prostřednictvím LinkedIn a Telegramu. Cíle jsou zpočátku oslovovány pod záminkou spolupráce s firmou rizikového kapitálu. Konverzace jsou následně převedeny do skupinových chatů v Telegramu s imitujícími se „partnery“, což vytváří přesvědčivou fasádu legitimity.

V rámci těchto skupin se diskuse točí kolem finančních služeb a strategií likvidity kryptoměn, což posiluje důvěryhodnost. Oběti jsou nakonec instruovány k přístupu ke sdílenému dashboardu prostřednictvím cloudového trezoru Obsidian s použitím poskytnutých přihlašovacích údajů.

Skrytý spouštěč: Aktivace škodlivého trezoru

Řetězec infekce se aktivuje, když oběť otevře sdílený trezor v Obsidianu. V této fázi je uživatel vyzván k povolení synchronizace pro „Nainstalované pluginy komunity“, což je funkce, která je ve výchozím nastavení zakázána. Tento ruční zásah je zásadní, protože umožňuje spuštění vložených škodlivých konfigurací.

Útočníci zneužívají legitimní pluginy, konkrétně Shell Commands a Hider, ke spouštění neoprávněného kódu. Zatímco Shell Commands usnadňuje spuštění, Hider skrývá prvky rozhraní, jako je stavový řádek a popisky, čímž snižuje pravděpodobnost odhalení. Útok se zcela opírá o přesvědčení uživatele, aby povolil synchronizaci pluginů, a tím obešel vestavěná ochranná opatření.

Únik podle návrhu: Život z legitimních funkcí

Tato kampaň vyniká strategickým zneužíváním funkčnosti důvěryhodných aplikací spíše než využíváním zranitelností softwaru. Mezi klíčové charakteristiky patří:

  • Škodlivé datové části jsou vloženy do konfiguračních souborů JSON, takže je méně pravděpodobné, že spustí tradiční antivirovou detekci.
  • Spuštění se provádí prostřednictvím podepsané aplikace založené na platformě Electron, což komplikuje detekci založenou na nadřazených procesech.
  • Perzistence a provádění příkazů se zcela spoléhají na legitimní mechanismy pluginů v aplikaci.

Řetězec infekce Windows: Od zavaděče k paměťově rezidentnímu backdooru

V systémech Windows útok inicializuje řetězec provádění založený na PowerShellu, který nasazuje mezilehlý zavaděč s názvem PHANTOMPULL. Tento zavaděč dešifruje a spouští PHANTOMPULSE přímo v paměti, čímž se vyhne detekci na disku.

PHANTOMPULSE využívá technologii Command-and-Control (C2) založené na blockchainu, která dotazuje síť Ethereum. Načítá nejnovější transakci propojenou s pevně zakódovanou adresou peněženky, aby dynamicky určila svůj C2 server. Komunikace probíhá přes WinHTTP, což umožňuje exfiltraci dat, načítání příkazů a reportování provedení.

Malware podporuje širokou škálu možností vzdáleného ovládání:

  • inject: vloží shellcode, DLL nebo spustitelné soubory do procesů
  • drop: zapisuje a spouští soubory na disku
  • snímek obrazovky: zachycuje a nahrává data obrazovky
  • keylog: povoluje nebo zakazuje protokolování stisknutí kláves
  • odinstalace: odstraní mechanismy perzistence a vyčistí artefakty
  • elevate: eskaluje oprávnění na SYSTEM pomocí zvýšení oprávnění COM
  • downgrade: snižuje oprávnění ze SYSTÉMOVÉ na úroveň administrátora

Varianta macOS: Zmatkování a flexibilní infrastruktura C2

V systému macOS útok využívá obfuskovaný AppleScript poskytovaný prostřednictvím stejného mechanismu pluginu. Skript cyklicky prochází předdefinovaný seznam domén a používá Telegram jako záložní dead-drop resolver pro vyhledávání C2. Tento design umožňuje rychlou rotaci infrastruktury, což činí tradiční strategie blokování domén neúčinnými.

Poslední fáze zahrnuje načtení a spuštění sekundárního datového zatížení pomocí osascriptu. Vzhledem k neaktivním serverům C2 v době analýzy však plné možnosti tohoto datového zatížení zůstávají neurčené.

Výsledek útoku a strategické důsledky

Pozorovaný útok byl nakonec neúspěšný, protože obranná opatření útok odhalila a zablokovala dříve, než bylo dosaženo cílů. Nicméně REF6598 zdůrazňuje významný vývoj v metodologii aktérů hrozeb.

Využíváním důvěryhodných aplikací a spoléháním se na změny konfigurace řízené uživatelem útočníci efektivně obcházejí konvenční bezpečnostní kontroly. Tento přístup podtrhuje rostoucí trend: zneužívání legitimních softwarových funkcí jako skrytých kanálů pro spuštění, což zdůrazňuje potřebu zvýšeného povědomí uživatelů a monitorování jejich chování v rámci kybernetické obrany.

Trendy

Nejvíce shlédnuto

Načítání...