قیمت چند مجوز تخفیف
پایگاه داده تهدید فیشینگ PHANTOMPULSE RAT

PHANTOMPULSE RAT

تا Mezo در فیشینگ, ابزارهای مدیریت از راه دور
ترجمه به:

یک کمپین مهندسی اجتماعی پیچیده پدیدار شده است که از Obsidian به عنوان یک مسیر دسترسی اولیه برای استقرار یک تروجان دسترسی از راه دور ویندوز که قبلاً مستند نشده بود و PHANTOMPULSE نام دارد، سوءاستفاده می‌کند. این کمپین به طور خاص افرادی را که در بخش‌های مالی و ارزهای دیجیتال فعالیت می‌کنند، هدف قرار می‌دهد و از اعتماد به ابزارهای قانونی برای دور زدن انتظارات امنیتی سنتی سوءاستفاده می‌کند.

عملیات REF6598: فریب از طریق شبکه‌های حرفه‌ای

این کمپین که توسط محققان امنیت سایبری با نام REF6598 شناسایی شده است، از تکنیک‌های پیشرفته مهندسی اجتماعی از طریق لینکدین و تلگرام استفاده می‌کند. در ابتدا با بهانه همکاری با یک شرکت سرمایه‌گذاری خطرپذیر، به اهداف نزدیک می‌شوند. متعاقباً مکالمات به چت‌های گروهی تلگرامی پر از «شرکای» جعلی منتقل می‌شوند و ظاهری قانع‌کننده از مشروعیت ایجاد می‌کنند.

در این گروه‌ها، بحث‌ها حول محور خدمات مالی و استراتژی‌های نقدینگی ارزهای دیجیتال می‌چرخد و اعتبار را تقویت می‌کند. در نهایت به قربانیان دستور داده می‌شود تا با استفاده از اعتبارنامه‌های ارائه شده، از طریق یک گاوصندوق ابری Obsidian به یک داشبورد مشترک دسترسی پیدا کنند.

عامل پنهان: فعال‌سازی مخرب گاوصندوق

زنجیره آلودگی زمانی فعال می‌شود که قربانی، گاوصندوق مشترک را در Obsidian باز کند. در این مرحله، از کاربر خواسته می‌شود تا همگام‌سازی را برای «افزونه‌های نصب‌شده انجمن» فعال کند، قابلیتی که به‌طور پیش‌فرض غیرفعال است. این اقدام دستی بسیار مهم است، زیرا امکان اجرای پیکربندی‌های مخرب جاسازی‌شده را فراهم می‌کند.

مهاجمان از افزونه‌های قانونی، به‌ویژه Shell Commands و Hider، برای اجرای کد غیرمجاز سوءاستفاده می‌کنند. در حالی که Shell Commands اجرا را تسهیل می‌کند، Hider عناصر رابط مانند نوار وضعیت و نکات ابزار را پنهان می‌کند و احتمال شناسایی را کاهش می‌دهد. این حمله کاملاً به متقاعد کردن کاربر برای فعال کردن همگام‌سازی افزونه و در نتیجه دور زدن محافظ‌های داخلی بستگی دارد.

فرار از طریق طراحی: زندگی با ویژگی‌های مشروع

این کمپین به جای سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری، به دلیل سوءاستفاده استراتژیک از قابلیت‌های برنامه‌های کاربردی مورد اعتماد، متمایز است. ویژگی‌های کلیدی عبارتند از:

  • بارهای مخرب در فایل‌های پیکربندی JSON جاسازی شده‌اند و این امر باعث می‌شود که احتمال شناسایی آنها توسط آنتی‌ویروس‌های سنتی کمتر شود.
  • اجرا از طریق یک برنامه‌ی مبتنی بر Electron امضا شده انجام می‌شود که تشخیص مبتنی بر فرآیند والد را پیچیده می‌کند.
  • پایداری و اجرای دستورات کاملاً به سازوکارهای افزونه‌ی قانونی درون برنامه وابسته است

زنجیره آلودگی ویندوز: از لودر تا درب پشتی مقیم در حافظه

در سیستم‌های ویندوز، این حمله یک زنجیره اجرایی مبتنی بر PowerShell را آغاز می‌کند که یک لودر میانی به نام PHANTOMPULL را مستقر می‌کند. این لودر، PHANTOMPULSE را رمزگشایی و مستقیماً در حافظه اجرا می‌کند و از شناسایی مبتنی بر دیسک جلوگیری می‌کند.

PHANTOMPULSE با پرس و جو از شبکه اتریوم، از راهکار فرماندهی و کنترل (C2) مبتنی بر بلاکچین استفاده می‌کند. این راهکار، آخرین تراکنش مرتبط با یک آدرس کیف پول کدگذاری شده را بازیابی می‌کند تا به صورت پویا سرور C2 خود را تعیین کند. ارتباط از طریق WinHTTP انجام می‌شود که امکان استخراج داده‌ها، بازیابی دستورات و گزارش اجرا را فراهم می‌کند.

این بدافزار از مجموعه گسترده‌ای از قابلیت‌های کنترل از راه دور پشتیبانی می‌کند:

  • تزریق: شل‌کد، DLLها یا فایل‌های اجرایی را به درون فرآیندها تزریق می‌کند.
  • رها کردن: فایل‌ها را روی دیسک می‌نویسد و اجرا می‌کند
  • اسکرین‌شات: داده‌های صفحه نمایش را ضبط و آپلود می‌کند
  • keylog: ثبت وقایع ضربه کلید را فعال یا غیرفعال می‌کند
  • حذف نصب: مکانیسم‌های پایداری را حذف کرده و مصنوعات را پاک می‌کند.
  • elevate: با استفاده از ارتقاء COM، امتیازات را به SYSTEM افزایش می‌دهد.
  • تنزل رتبه: امتیازات را از سطح سیستم به سطح مدیر کاهش می‌دهد.

نسخه macOS: مبهم‌سازی و زیرساخت انعطاف‌پذیر C2

در macOS، این حمله از یک AppleScript مبهم‌سازی‌شده که از طریق همان مکانیزم افزونه ارائه می‌شود، بهره می‌برد. این اسکریپت از طریق یک لیست از پیش تعریف‌شده از دامنه‌ها می‌چرخد و از تلگرام به عنوان یک حل‌کننده‌ی dead-drop جایگزین برای کشف C2 استفاده می‌کند. این طراحی امکان چرخش سریع زیرساخت را فراهم می‌کند و استراتژی‌های سنتی مسدود کردن دامنه را بی‌اثر می‌کند.

مرحله نهایی شامل بازیابی و اجرای یک payload ثانویه از طریق osascript است. با این حال، به دلیل غیرفعال بودن سرورهای C2 در زمان تجزیه و تحلیل، قابلیت‌های کامل این payload هنوز مشخص نشده است.

نتیجه حمله و پیامدهای استراتژیک

نفوذ مشاهده‌شده در نهایت ناموفق بود، زیرا اقدامات دفاعی، حمله را قبل از دستیابی به اهداف شناسایی و مسدود کردند. با این وجود، REF6598 تکامل قابل توجهی را در روش‌شناسی عامل تهدید برجسته می‌کند.

با سوءاستفاده از برنامه‌های کاربردی مورد اعتماد و تکیه بر تغییرات پیکربندی کاربرمحور، دشمنان عملاً کنترل‌های امنیتی مرسوم را دور می‌زنند. این رویکرد، روند رو به رشدی را برجسته می‌کند: استفاده از ویژگی‌های نرم‌افزاری مشروع به عنوان سلاح به عنوان کانال‌های اجرای مخفی، که بر نیاز به افزایش آگاهی کاربر و نظارت رفتاری در دفاع از امنیت سایبری تأکید دارد.

پرطرفدار

Mightytechy.com

وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
محافظت از دستگاه‌ها در برابر برنامه‌های مزاحم و غیرقابل اعتماد، بخش مهمی از حفظ امنیت دیجیتال است. برنامه‌های ناخواسته (PUP)، به ویژه آن‌هایی که به ربایندگان مرورگر مرتبط هستند، ممکن است به طور...

Panneyess.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط در هنگام مرور اینترنت بیش از هر زمان دیگری اهمیت دارد. وب‌سایت‌های جعلی برای سوءاستفاده از بی‌توجهی و اعتماد طراحی شده‌اند و اغلب از تکنیک‌های فریبنده برای فریب کاربران و وادار کردن آنها به...

کلاهبرداری پوشپاگاندا مبتنی بر هوش مصنوعی

هرزنامه
محققان امنیت سایبری یک کمپین کلاهبرداری تبلیغاتی پیچیده با نام رمز Pushpaganda را کشف کرده‌اند که مسمومیت با بهینه‌سازی موتور جستجو (SEO) را با محتوای تولید شده توسط هوش مصنوعی ترکیب می‌کند. این عملیات برای دستکاری پلتفرم‌های کشف محتوا، به ویژه Google Discover، با تبلیغ اخبار فریبنده‌ای که به نظر قانونی می‌رسند، طراحی شده است. هدف نهایی این است که کاربران را فریب دهند تا اعلان‌های مداوم مرورگر...

پربیننده ترین

بارگذاری...