PHANTOMPULSSE-ROTTAA

Vuonna Mezo vuonna Tietojenkalastelu, Etähallintatyökalut

Käännä:

Hienostunut sosiaalisen manipuloinnin kampanja on käynnistynyt, ja siinä hyödynnetään Obsidiania ensimmäisenä pääsyvektorina aiemmin dokumentoimattoman PHANTOMPULSEN kaltaisen Windows-etäkäyttötroijalaisen käyttöönottoon. Kampanja kohdistuu erityisesti rahoitus- ja kryptovaluuttasektoreilla toimiviin henkilöihin ja hyödynnetään luottamusta laillisiin työkaluihin ohittaakseen perinteiset turvallisuusodotukset.

Sisällysluettelo

Operaatio REF6598: Petos ammatillisten verkostojen kautta

Kyberturvallisuustutkijoiden REF6598-nimiseksi nimeämä kampanja käyttää edistyneitä sosiaalisen manipuloinnin tekniikoita LinkedInin ja Telegramin kautta. Kohteisiin lähestytään aluksi yhteistyön varjolla riskipääomayhtiön kanssa. Keskustelut siirretään myöhemmin Telegram-ryhmäkeskusteluihin, joissa on esiintyviä "kumppaneita", mikä luo vakuuttavan ilmeen oikeutuksesta.

Näissä ryhmissä keskustelut pyörivät rahoituspalveluiden ja kryptovaluuttojen likviditeettistrategioiden ympärillä, mikä vahvistaa uskottavuutta. Lopulta uhreja ohjeistetaan käyttämään jaettua kojelautaa pilvipohjaisen Obsidian-holvin kautta annetuilla tunnuksilla.

Piilotettu laukaisin: Haitallinen holvin aktivointi

Tartuntaketju aktivoituu, kun uhri avaa jaetun holvin Obsidianissa. Tässä vaiheessa käyttäjää pyydetään ottamaan käyttöön synkronointi asennetuille yhteisölaajennuksille, mikä on oletuksena pois käytöstä. Tämä manuaalinen toiminto on kriittinen, koska se sallii upotettujen haitallisten kokoonpanojen suorittamisen.

Hyökkääjät hyödyntävät laillisia laajennuksia, erityisesti Shell Commandsia ja Hideriä, luvattoman koodin suorittamiseen. Shell Commands helpottaa suorittamista, kun taas Hider piilottaa käyttöliittymäelementtejä, kuten tilarivin ja työkaluvihjeet, mikä vähentää havaitsemisen todennäköisyyttä. Hyökkäys perustuu täysin käyttäjän suostutteluun ottamaan käyttöön laajennusten synkronoinnin, jolloin sisäänrakennetut suojausmekanismit ohitetaan.

Suunnittelun mukainen kiertäminen: Elämistä laillisten ominaisuuksien varassa

Tämä kampanja erottuu joukosta luotettavien sovellusten toiminnallisuuden strategisella väärinkäytöllä ohjelmistohaavoittuvuuksien hyödyntämisen sijaan. Keskeisiä ominaisuuksia ovat:

Haitalliset hyötykuormat on upotettu JSON-määritystiedostoihin, mikä tekee niistä epätodennäköisempiä käynnistämään perinteisen virustorjuntaohjelman tunnistuksen.
Suoritus suoritetaan allekirjoitetun Electron-pohjaisen sovelluksen kautta, mikä vaikeuttaa pääprosessiin perustuvaa tunnistusta.
Pysyvyys ja komentojen suoritus perustuvat täysin sovelluksen sisäisiin laillisiin laajennusmekanismeihin

Windowsin tartuntaketju: latausohjelmasta muistissa olevaan takaporttiin

Windows-järjestelmissä hyökkäys käynnistää PowerShell-pohjaisen suoritusketjun, joka ottaa käyttöön PHANTOMPULL-nimisen välilataajan. Tämä lataaja purkaa PHANTOMPULLES-salausohjelman ja käynnistää sen suoraan muistissa välttäen levypohjaisen havaitsemisen.

PHANTOMPULSE hyödyntää lohkoketjupohjaista komento- ja ohjaustekniikkaa (C2) tekemällä kyselyn Ethereum-verkolle. Se hakee viimeisimmän kiinteästi koodattuun lompakkoosoitteeseen linkitetyn tapahtuman määrittääkseen dynaamisesti C2-palvelimensa. Kommunikointi tapahtuu WinHTTP:n kautta, mikä mahdollistaa tiedonsiirron, komentojen noutamisen ja suoritusraportoinnin.

Haittaohjelma tukee laajaa valikoimaa etäkäyttöominaisuuksia:

inject: injects shell-koodia, DLL-tiedostoja tai suoritettavia tiedostoja prosesseihin
drop: kirjoittaa ja suorittaa tiedostoja levylle
kuvakaappaus: kaappaa ja lataa näyttötiedot
näppäinloki: ottaa käyttöön tai poistaa käytöstä näppäinpainallusten kirjaamisen
poistaminen: poistaa pysyvyysmekanismit ja puhdistaa artefaktit
elate: laajentaa oikeudet SYSTEM-järjestelmään käyttämällä COM-oikeuksien laajennusta
alentaa: alentaa oikeuksia JÄRJESTELMÄ-tasolta järjestelmänvalvojatasolle

macOS-variantti: Hämärtäminen ja joustava C2-infrastruktuuri

macOS:ssä hyökkäys hyödyntää saman plugin-mekanismin kautta toimitettua hämärrettyä AppleScript-skriptiä. Skripti käy läpi ennalta määritetyn verkkotunnusluettelon ja käyttää Telegramia varajärjestelmänä C2-löydön epäonnistuneiden toimintojen ratkaisemiseen. Tämä rakenne mahdollistaa infrastruktuurin nopean rotaation, mikä tekee perinteisistä verkkotunnusten estämisstrategioista tehottomia.

Viimeinen vaihe sisältää toissijaisen hyötykuorman hakemisen ja suorittamisen osascriptin kautta. Analyysihetkellä passiivisten C2-palvelimien vuoksi tämän hyötykuorman täydet ominaisuudet ovat kuitenkin edelleen epäselviä.

Hyökkäyksen lopputulos ja strategiset vaikutukset

Havaittu tunkeutuminen epäonnistui lopulta, sillä puolustustoimenpiteet havaitsivat ja estivät hyökkäyksen ennen tavoitteiden saavuttamista. REF6598 kuitenkin korostaa merkittävää kehitystä uhkatoimijoiden menetelmissä.

Hyödyntämällä luotettavia sovelluksia ja luottamalla käyttäjien tekemiin määritysmuutoksiin hyökkääjät ohittavat tehokkaasti perinteiset tietoturvakontrollit. Tämä lähestymistapa korostaa kasvavaa trendiä: laillisten ohjelmisto-ominaisuuksien aseistamista peitetyiksi suorituskanaviksi, mikä korostaa käyttäjien tietoisuuden ja käyttäytymisen seurannan lisääntymisen tarvetta kyberturvallisuudessa.

EnigmaSoftin maksuprosessorin Digital River GmbH:n konkurssi ei vaikuta SpyHunter-asiakkaiden haittaohjelmien torjuntaan

Hae

Vaihda aluetta

PHANTOMPULSSE-ROTTAA

Operaatio REF6598: Petos ammatillisten verkostojen kautta

Piilotettu laukaisin: Haitallinen holvin aktivointi

Suunnittelun mukainen kiertäminen: Elämistä laillisten ominaisuuksien varassa

Windowsin tartuntaketju: latausohjelmasta muistissa olevaan takaporttiin

macOS-variantti: Hämärtäminen ja joustava C2-infrastruktuuri

Hyökkäyksen lopputulos ja strategiset vaikutukset

Lähetä kommentti

Trendaavat

Mightytechy.com

Panneyess.com

Tekoälyyn perustuva Pushpaganda-huijaus

Eniten katsottu

Eporner.com

Fuq.com

XHAMSTER Ransomware