Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Andmepüük FANTOMPULSSI ROT

FANTOMPULSSI ROT

Aastaks Mezo aastal Andmepüük, Kaughaldustööriistad
Tõlgi:

On tekkinud keerukas sotsiaalse manipuleerimise kampaania, mis kasutab Obsidianit esmase ligipääsu vektorina, et juurutada varem dokumenteerimata Windowsi kaugjuurdepääsu troojalast, mida tuntakse nime PHANTOMPULS. Kampaania on suunatud spetsiaalselt finants- ja krüptovaluutasektoris tegutsevatele isikutele, kasutades ära usaldust legitiimsete tööriistade vastu, et mööda hiilida traditsioonilistest turvaootustest.

Operatsioon REF6598: pettus professionaalsete võrgustike kaudu

Küberjulgeolekuuurijate poolt REF6598-ks nimetatud kampaania kasutab LinkedIni ja Telegrami vahendusel täiustatud sotsiaalse manipuleerimise tehnikaid. Sihtmärkidele lähenetakse algselt riskikapitalifirmaga koostöö tegemise ettekäändel. Seejärel viiakse vestlused Telegrami grupivestlustesse, kus osalevad jäljendatud „partnerid”, luues veenva fassaadi legitiimsusest.

Nendes gruppides keerlevad arutelud finantsteenuste ja krüptovaluuta likviidsusstrateegiate ümber, tugevdades usaldusväärsust. Lõpuks juhendatakse ohvreid pääsema ligi jagatud armatuurlauale pilvepõhise Obsidiani seifi kaudu, kasutades antud sisselogimisandmeid.

Varjatud päästik: pahatahtliku võlvi aktiveerimine

Nakatumise ahel aktiveeritakse, kui ohver avab Obsidiani jagatud hoidla. Selles etapis palutakse kasutajal lubada sünkroonimine installitud kogukonna pluginate jaoks, mis on vaikimisi keelatud funktsioon. See käsitsi toiming on kriitilise tähtsusega, kuna see võimaldab manustatud pahatahtlike konfiguratsioonide käivitamist.

Ründajad kasutavad ära legitiimseid pluginaid, täpsemalt Shell Commandsi ja Hiderit, volitamata koodi käivitamiseks. Kuigi Shell Commands hõlbustab käivitamist, varjab Hider liideseelemente, näiteks olekuriba ja kohtspikrid, vähendades avastamise tõenäosust. Rünnak sõltub täielikult kasutaja veenmisest pluginate sünkroonimise lubamiseks, möödudes seeläbi sisseehitatud kaitsemeetmetest.

Evasion by Design: Elu õigustatud omadustest lähtuvalt

See kampaania paistab silma usaldusväärsete rakenduste funktsionaalsuse strateegilise kuritarvitamise, mitte tarkvara haavatavuste ärakasutamise poolest. Peamised omadused on järgmised:

  • Pahatahtlikud koormused on JSON-i konfiguratsioonifailidesse manustatud, mistõttu on traditsioonilise viirusetõrje tuvastamise käivitamise tõenäosus väiksem.
  • Täitmine toimub allkirjastatud Electronil põhineva rakenduse kaudu, mis raskendab vanemprotsessidel põhinevat tuvastamist.
  • Püsivus ja käskude täitmine sõltuvad täielikult rakenduses olevatest legitiimsetest pluginamehhanismidest.

Windowsi nakkusahel: laadurist mälus asuva tagaukseni

Windowsi süsteemides käivitab rünnak PowerShelli-põhise täitmisahela, mis käivitab vahelaaduri nimega PHANTOMPULL. See laadur dekrüpteerib ja käivitab PHANTOMPULL-i otse mällu, vältides kettapõhist tuvastamist.

PHANTOMPULSE kasutab plokiahelal põhinevat käsklus- ja juhtimissüsteemi (C2) lahendust, pärides Ethereumi võrgust. See hangib uusima tehingu, mis on seotud kõvakodeeritud rahakoti aadressiga, et dünaamiliselt määrata oma C2 server. Suhtlus toimub WinHTTP kaudu, mis võimaldab andmete väljafiltreerimist, käskude hankimist ja täitmisaruannete täitmist.

Pahavara toetab laia valikut kaugjuhtimisvõimalusi:

  • süstimine: süstib protsessidesse kestakoodi, DLL-e või käivitatavaid faile
  • drop: kirjutab ja käivitab faile kettale
  • ekraanipilt: jäädvustab ja laadib üles ekraanipildi andmed
  • klahvilogi: lubab või keelab klahvivajutuste logimise
  • desinstallimine: eemaldab püsivusmehhanismid ja puhastab artefakte
  • tõsta: laiendab õigusi SYSTEM-ile COM-i abil
  • alandada: vähendab õigusi SÜSTEEMI tasemelt administraatori tasemele

macOS-i variant: hägustamine ja paindlik C2-infrastruktuur

macOS-is kasutab rünnak sama pluginmehhanismi kaudu edastatavat hägustatud AppleScripti. Skript tsükliliselt läbib eelnevalt määratletud domeenide loendi ja kasutab Telegrami C2 avastamiseks varuvariandina surnud ringi lahendajana. See disain võimaldab infrastruktuuri kiiret rotatsiooni, muutes traditsioonilised domeenide blokeerimise strateegiad ebaefektiivseks.

Viimane etapp hõlmab teisese kasuliku koormuse hankimist ja käivitamist osascripti kaudu. Kuna analüüsi ajal on C2-serverid passiivsed, jäävad selle kasuliku koormuse täielikud võimalused siiski määramata.

Rünnaku tulemus ja strateegilised tagajärjed

Täheldatud sissetung oli lõpuks ebaõnnestunud, kuna kaitsemeetmed tuvastasid ja blokeerisid rünnaku enne eesmärkide saavutamist. Sellest hoolimata toob REF6598 esile olulise arengu ohutegijate metoodikas.

Usaldusväärsete rakenduste ärakasutamise ja kasutaja juhitud konfiguratsioonimuudatustele toetudes mööduvad vastased tõhusalt tavapärastest turvakontrollidest. See lähenemisviis rõhutab kasvavat trendi: legitiimsete tarkvarafunktsioonide relvana kasutamist varjatud täitmiskanalitena, rõhutades vajadust suurenenud kasutajate teadlikkuse ja käitumise jälgimise järele küberturvalisuse kaitses.

Trendikas

Enim vaadatud

Laadimine...