Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Phishing ΦΑΝΤΟΜΠΟΥΛΣ ΑΡΟΥΡΑΙΟΣ

ΦΑΝΤΟΜΠΟΥΛΣ ΑΡΟΥΡΑΙΟΣ

Μέχρι το Mezo το Phishing, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Έχει αναδυθεί μια εξελιγμένη εκστρατεία κοινωνικής μηχανικής, η οποία εκμεταλλεύεται το Obsidian ως αρχικό φορέα πρόσβασης για την ανάπτυξη ενός προηγουμένως μη καταγεγραμμένου trojan απομακρυσμένης πρόσβασης των Windows, γνωστού ως PHANTOMPULSE. Η εκστρατεία στοχεύει συγκεκριμένα άτομα που δραστηριοποιούνται στους χρηματοοικονομικούς τομείς και τους τομείς των κρυπτονομισμάτων, αξιοποιώντας την εμπιστοσύνη σε νόμιμα εργαλεία για να παρακάμψει τις παραδοσιακές προσδοκίες ασφαλείας.

Λειτουργία REF6598: Εξαπάτηση μέσω επαγγελματικών δικτύων

Με την ονομασία REF6598 από ερευνητές κυβερνοασφάλειας, αυτή η καμπάνια χρησιμοποιεί προηγμένες τεχνικές κοινωνικής μηχανικής μέσω LinkedIn και Telegram. Οι στόχοι προσεγγίζονται αρχικά με το πρόσχημα της συνεργασίας με μια εταιρεία επιχειρηματικών κεφαλαίων. Οι συνομιλίες στη συνέχεια μετατρέπονται σε ομαδικές συνομιλίες Telegram με πλαστοπροσωπούμενους «συνεργάτες», δημιουργώντας μια πειστική πρόσοψη νομιμότητας.

Εντός αυτών των ομάδων, οι συζητήσεις περιστρέφονται γύρω από τις χρηματοοικονομικές υπηρεσίες και τις στρατηγικές ρευστότητας κρυπτονομισμάτων, ενισχύοντας την αξιοπιστία. Τα θύματα τελικά λαμβάνουν οδηγίες να έχουν πρόσβαση σε έναν κοινόχρηστο πίνακα ελέγχου μέσω ενός θησαυροφυλακίου Obsidian που φιλοξενείται στο cloud χρησιμοποιώντας τα παρεχόμενα διαπιστευτήρια.

Η Κρυφή Ενεργοποίηση: Κακόβουλη Ενεργοποίηση Θησαυροφυλακίου

Η αλυσίδα μόλυνσης ενεργοποιείται όταν το θύμα ανοίγει το κοινόχρηστο θησαυροφυλάκιο εντός του Obsidian. Σε αυτό το στάδιο, ο χρήστης καλείται να ενεργοποιήσει τον συγχρονισμό για τα «Εγκατεστημένα πρόσθετα κοινότητας», μια λειτουργία που είναι απενεργοποιημένη από προεπιλογή. Αυτή η χειροκίνητη ενέργεια είναι κρίσιμη, καθώς επιτρέπει την εκτέλεση ενσωματωμένων κακόβουλων διαμορφώσεων.

Οι εισβολείς εκμεταλλεύονται νόμιμα πρόσθετα (plugins), συγκεκριμένα τα Shell Commands και Hider, για να εκτελέσουν μη εξουσιοδοτημένο κώδικα. Ενώ το Shell Commands διευκολύνει την εκτέλεση, το Hider αποκρύπτει στοιχεία διεπαφής, όπως τη γραμμή κατάστασης και τις συμβουλές εργαλείων, μειώνοντας την πιθανότητα ανίχνευσης. Η επίθεση βασίζεται αποκλειστικά στο να πείσει τον χρήστη να ενεργοποιήσει τον συγχρονισμό των πρόσθετων (plugins), παρακάμπτοντας έτσι τις ενσωματωμένες διασφαλίσεις.

Φυλάκιση με Σχεδιασμό: Ζώντας από Νόμιμα Χαρακτηριστικά

Αυτή η καμπάνια ξεχωρίζει για τη στρατηγική της κατάχρηση αξιόπιστης λειτουργικότητας εφαρμογών αντί να εκμεταλλεύεται τα τρωτά σημεία του λογισμικού. Τα βασικά χαρακτηριστικά περιλαμβάνουν:

  • Κακόβουλα φορτία είναι ενσωματωμένα σε αρχεία διαμόρφωσης JSON, καθιστώντας τα λιγότερο πιθανό να ενεργοποιήσουν την παραδοσιακή ανίχνευση antivirus.
  • Η εκτέλεση εκτελείται μέσω μιας εφαρμογής που βασίζεται σε υπογεγραμμένα ηλεκτρονικά, περιπλέκοντας την ανίχνευση που βασίζεται σε γονική διεργασία.
  • Η επιμονή και η εκτέλεση εντολών βασίζονται εξ ολοκλήρου σε νόμιμους μηχανισμούς plugin εντός της εφαρμογής.

Αλυσίδα μόλυνσης των Windows: Από το πρόγραμμα φόρτωσης έως την κρυφή πίσω πόρτα μνήμης

Σε συστήματα Windows, η επίθεση ξεκινά μια αλυσίδα εκτέλεσης που βασίζεται σε PowerShell και αναπτύσσει έναν ενδιάμεσο φορτωτή με το όνομα PHANTOMPULL. Αυτός ο φορτωτής αποκρυπτογραφεί και εκκινεί το PHANTOMPULSE απευθείας στη μνήμη, αποφεύγοντας την ανίχνευση που βασίζεται σε δίσκο.

Το PHANTOMPULSE ενσωματώνει ανάλυση Command-and-Control (C2) που βασίζεται σε blockchain, υποβάλλοντας ερώτημα στο δίκτυο Ethereum. Ανακτά την τελευταία συναλλαγή που συνδέεται με μια κωδικοποιημένη διεύθυνση πορτοφολιού για να προσδιορίσει δυναμικά τον διακομιστή C2. Η επικοινωνία πραγματοποιείται μέσω WinHTTP, επιτρέποντας την εξαγωγή δεδομένων, την ανάκτηση εντολών και την αναφορά εκτέλεσης.

Το κακόβουλο λογισμικό υποστηρίζει ένα ευρύ φάσμα δυνατοτήτων τηλεχειρισμού:

  • inject: εισάγει shellcode, DLL ή εκτελέσιμα αρχεία σε διεργασίες
  • drop: γράφει και εκτελεί αρχεία σε δίσκο
  • στιγμιότυπο οθόνης: καταγράφει και ανεβάζει δεδομένα οθόνης
  • keylog: ενεργοποιεί ή απενεργοποιεί την καταγραφή πληκτρολόγησης
  • απεγκατάσταση: αφαιρεί τους μηχανισμούς διατήρησης και καθαρίζει τα αντικείμενα
  • ανύψωση: κλιμακώνει τα δικαιώματα στο SYSTEM χρησιμοποιώντας ανύψωση COM
  • υποβάθμιση: μειώνει τα δικαιώματα από το επίπεδο SYSTEM σε επίπεδο διαχειριστή

Παραλλαγή macOS: Αποκρύπτηση και Ευέλικτη Υποδομή C2

Στο macOS, η επίθεση αξιοποιεί ένα μπερδεμένο AppleScript που παρέχεται μέσω του ίδιου μηχανισμού plugin. Το σενάριο εκτελεί κυκλική διαδρομή μέσω μιας προκαθορισμένης λίστας τομέων και χρησιμοποιεί το Telegram ως εφεδρικό dead-drop resolver για την ανακάλυψη C2. Αυτός ο σχεδιασμός επιτρέπει την ταχεία εναλλαγή της υποδομής, καθιστώντας τις παραδοσιακές στρατηγικές αποκλεισμού τομέων αναποτελεσματικές.

Το τελικό στάδιο περιλαμβάνει την ανάκτηση και εκτέλεση ενός δευτερεύοντος ωφέλιμου φορτίου μέσω του osascript. Ωστόσο, λόγω των ανενεργών διακομιστών C2 κατά τη στιγμή της ανάλυσης, οι πλήρεις δυνατότητες αυτού του ωφέλιμου φορτίου παραμένουν απροσδιόριστες.

Αποτέλεσμα Επίθεσης και Στρατηγικές Επιπτώσεις

Η παρατηρούμενη εισβολή ήταν τελικά ανεπιτυχής, καθώς τα αμυντικά μέτρα ανίχνευσαν και απέκλεισαν την επίθεση πριν επιτευχθούν οι στόχοι. Παρ 'όλα αυτά, το REF6598 υπογραμμίζει μια σημαντική εξέλιξη στη μεθοδολογία των απειλητικών φορέων.

Εκμεταλλευόμενοι αξιόπιστες εφαρμογές και βασιζόμενοι σε αλλαγές διαμόρφωσης που καθοδηγούνται από τον χρήστη, οι αντίπαλοι παρακάμπτουν αποτελεσματικά τους συμβατικούς ελέγχους ασφαλείας. Αυτή η προσέγγιση υπογραμμίζει μια αυξανόμενη τάση: την οπλοποίηση νόμιμων λειτουργιών λογισμικού ως μυστικών καναλιών εκτέλεσης, τονίζοντας την ανάγκη για αυξημένη επίγνωση των χρηστών και παρακολούθηση της συμπεριφοράς στις άμυνες στον κυβερνοχώρο.

Τάσεις

Mightytechy.com

Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
Η προστασία των συσκευών από παρεμβατικές και αναξιόπιστες εφαρμογές αποτελεί κρίσιμο μέρος της διατήρησης της ψηφιακής ασφάλειας. Τα δυνητικά ανεπιθύμητα προγράμματα (PUPs), ειδικά εκείνα που...

Απάτη Pushpaganda που καθοδηγείται από την τεχνητή...

Ανεπιθύμητη αλληλογραφία
Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη εκστρατεία απάτης μέσω διαφημίσεων, με την κωδική ονομασία Pushpaganda, η οποία συνδυάζει τη δηλητηρίαση από τη βελτιστοποίηση μηχανών αναζήτησης (SEO) με περιεχόμενο που δημιουργείται από τεχνητή νοημοσύνη. Αυτή η επιχείρηση έχει σχεδιαστεί για να χειραγωγεί πλατφόρμες ανακάλυψης περιεχομένου, ιδίως το Google Discover,...

Περισσότερες εμφανίσεις

Φόρτωση...