Rabattilbud med flere licenser
Trusseldatabase Phishing FANTOMPULS-ROTTE

FANTOMPULS-ROTTE

Med Mezo i Phishing, Fjernadministrationsværktøjer
Oversæt til:

En sofistikeret social engineering-kampagne er opstået, der udnytter Obsidian som en indledende adgangsvektor til at implementere en tidligere udokumenteret Windows-fjernadgangstrojan kendt som PHANTOMPULSE. Kampagnen er specifikt rettet mod personer, der opererer inden for finans- og kryptovalutasektoren, og udnytter tilliden til legitime værktøjer til at omgå traditionelle sikkerhedsforventninger.

Operation REF6598: Bedrag gennem professionelle netværk

Denne kampagne, der er udpeget som REF6598 af cybersikkerhedsforskere, anvender avancerede social engineering-teknikker via LinkedIn og Telegram. Målene kontaktes i første omgang under påskud af samarbejde med et venturekapitalfirma. Samtalerne overføres efterfølgende til Telegram-gruppechats befolket med efterlignede 'partnere', hvilket skaber en overbevisende facade af legitimitet.

Inden for disse grupper drejer diskussionerne sig om finansielle tjenester og strategier for kryptovalutalikviditet, hvilket styrker troværdigheden. Ofrene bliver i sidste ende instrueret i at få adgang til et delt dashboard via en cloud-hostet Obsidian-boks ved hjælp af de angivne loginoplysninger.

Den skjulte udløser: Aktivering af ondsindet hvælving

Infektionskæden aktiveres, når offeret åbner den delte boks i Obsidian. På dette tidspunkt bliver brugeren bedt om at aktivere synkronisering for 'Installerede community-plugins', en funktion, der som standard er deaktiveret. Denne manuelle handling er kritisk, da den tillader indlejrede, ondsindede konfigurationer at udføres.

Angribere udnytter legitime plugins, især Shell Commands og Hider, til at køre uautoriseret kode. Mens Shell Commands letter udførelsen, skjuler Hider grænsefladeelementer såsom statuslinjen og værktøjstip, hvilket reducerer sandsynligheden for opdagelse. Angrebet afhænger udelukkende af at overbevise brugeren om at aktivere plugin-synkronisering og derved omgå indbyggede sikkerhedsforanstaltninger.

Undgåelse gennem design: At leve af legitime funktioner

Denne kampagne skiller sig ud ved sit strategiske misbrug af betroede applikationers funktionalitet i stedet for at udnytte softwaresårbarheder. Nøglekarakteristika inkluderer:

  • Ondsindede data er integreret i JSON-konfigurationsfiler, hvilket gør dem mindre tilbøjelige til at udløse traditionel antivirusdetektion
  • Udførelsen udføres via en signeret elektronbaseret applikation, hvilket komplicerer detektion baseret på forældreprocesser.
  • Persistens og kommandoudførelse afhænger udelukkende af legitime plugin-mekanismer i applikationen.

Windows-infektionskæde: Fra indlæser til hukommelsesresident bagdør

På Windows-systemer starter angrebet en PowerShell-baseret udførelseskæde, der implementerer en mellemliggende indlæser ved navn PHANTOMPULL. Denne indlæser dekrypterer og starter PHANTOMPULSE direkte i hukommelsen og undgår dermed diskbaseret detektion.

PHANTOMPULSE inkorporerer blockchain-baseret Command-and-Control (C2)-løsning ved at forespørge Ethereum-netværket. Den henter den seneste transaktion, der er knyttet til en hardcodet wallet-adresse, for dynamisk at bestemme dens C2-server. Kommunikation udføres via WinHTTP, hvilket muliggør dataudfiltrering, kommandohentning og udførelsesrapportering.

Malwaren understøtter en bred vifte af fjernbetjeningsfunktioner:

  • injicér: injicerer shellcode, DLL'er eller eksekverbare filer i processer
  • drop: skriver og udfører filer på disken
  • skærmbillede: optager og uploader skærmdata
  • keylog: aktiverer eller deaktiverer logføring af tastetryk
  • afinstaller: fjerner persistensmekanismer og renser artefakter
  • elevate: eskalerer privilegier til SYSTEM ved hjælp af COM-elevation
  • nedgradering: reducerer privilegier fra SYSTEM- til administratorniveau

macOS-variant: Obfuskation og fleksibel C2-infrastruktur

På macOS udnytter angrebet et obfuskeret AppleScript, der leveres via den samme plugin-mekanisme. Scriptet gennemgår en foruddefineret liste over domæner og bruger Telegram som en fallback dead-drop-resolver til C2-opdagelse. Dette design muliggør hurtig rotation af infrastruktur, hvilket gør traditionelle domæneblokerende strategier ineffektive.

Den sidste fase involverer hentning og udførelse af en sekundær nyttelast via osascript. På grund af inaktive C2-servere på analysetidspunktet er de fulde muligheder for denne nyttelast dog stadig uafklarede.

Angrebsresultat og strategiske implikationer

Den observerede indtrængen var i sidste ende mislykket, da defensive foranstaltninger opdagede og blokerede angrebet, før målene blev nået. Ikke desto mindre fremhæver REF6598 en betydelig udvikling i trusselsaktørernes metodologi.

Ved at udnytte betroede applikationer og stole på brugerdrevne konfigurationsændringer omgår modstandere effektivt konventionelle sikkerhedskontroller. Denne tilgang understreger en voksende tendens: brugen af legitime softwarefunktioner som våben som skjulte udførelseskanaler, hvilket understreger behovet for øget brugerbevidsthed og adfærdsovervågning i cybersikkerhedsforsvar.

Trending

Mest sete

Indlæser...