PHANTOMPULSE RAT

קמפיין הנדסה חברתית מתוחכם צץ, המנצל את Obsidian כווקטור גישה ראשוני לפריסת טרויאן גישה מרחוק של Windows, שלא תועד בעבר, המכונה PHANTOMPULSE. הקמפיין מכוון במיוחד לאנשים הפועלים במגזר הפיננסי והמטבעות הקריפטוגרפיים, וממנף אמון בכלים לגיטימיים כדי לעקוף את ציפיות האבטחה המסורתיות.

מבצע REF6598: הטעיה באמצעות רשתות מקצועיות

קמפיין זה, שסומן כ-REF6598 על ידי חוקרי אבטחת סייבר, משתמש בטכניקות הנדסה חברתית מתקדמות דרך לינקדאין וטלגרם. הפנייה למטרות מתבצעת בתחילה תחת העמדת פנים של שיתוף פעולה עם חברת הון סיכון. לאחר מכן, השיחות מועברות לצ'אטים קבוצתיים בטלגרם המאוכלסים ב"שותפים" מתחזים, ויוצרים חזות משכנעת של לגיטימציה.

בתוך קבוצות אלו, הדיונים סובבים סביב שירותים פיננסיים ואסטרטגיות נזילות של מטבעות קריפטוגרפיים, מה שמחזק את האמינות. בסופו של דבר, הקורבנות מתבקשים לגשת ללוח מחוונים משותף דרך כספת Obsidian המתארחת בענן באמצעות אישורים שסופקו.

הטריגר הנסתר: הפעלת כספת זדונית

שרשרת ההדבקה מופעלת כאשר הקורבן פותח את הכספת המשותפת בתוך Obsidian. בשלב זה, המשתמש מתבקש להפעיל סנכרון עבור 'תוספי קהילה מותקנים', תכונה המושבתת כברירת מחדל. פעולה ידנית זו היא קריטית, מכיוון שהיא מאפשרת לבצע תצורות זדוניות מוטמעות.

תוקפים מנצלים תוספים לגיטימיים, במיוחד Shell Commands ו-Hider, כדי להריץ קוד לא מורשה. בעוד ש-Shell Commands מאפשר ביצוע, Hider מסתיר רכיבי ממשק כמו שורת המצב ותיאורי כלים, מה שמפחית את הסבירות לגילוי. ההתקפה תלויה כולה בשכנוע המשתמש להפעיל סנכרון תוספים, ובכך לעקוף את אמצעי ההגנה המובנים.

התחמקות מכוונת: לחיות על סמך תכונות לגיטימיות

קמפיין זה בולט בזכות ניצול אסטרטגי לרעה של פונקציונליות יישומים מהימנים במקום ניצול פגיעויות תוכנה. מאפיינים עיקריים כוללים:

• מטענים זדוניים מוטמעים בקבצי תצורה של JSON, מה שמפחית את הסיכוי שהם יפעילו זיהוי אנטי-וירוס מסורתי
• הביצוע מתבצע באמצעות יישום מבוסס אלקטרונים חתומים, מה שמסבך את הזיהוי המבוסס על תהליך האב.
• עמידות וביצוע פקודות מסתמכים לחלוטין על מנגנוני תוספים לגיטימיים בתוך האפליקציה.

שרשרת הדבקה של Windows: מטוען לדלת אחורית שוכנת זיכרון

במערכות Windows, ההתקפה יוזמת שרשרת ביצוע מבוססת PowerShell אשר פורסת טוען ביניים בשם PHANTOMPULL. טוען זה מפענח ומפעיל את PHANTOMPULSE ישירות בזיכרון, תוך הימנעות מזיהוי מבוסס דיסק.

PHANTOMPULSE משלבת טכנולוגיית פיקוד ובקרה (C2) מבוססת בלוקצ'יין על ידי שאילתה לרשת את'ריום. היא מאחזרת את העסקה האחרונה המקושרת לכתובת ארנק מקודדת כדי לקבוע באופן דינמי את שרת ה-C2 שלה. התקשורת מתבצעת דרך WinHTTP, מה שמאפשר חילוץ נתונים, אחזור פקודות ודיווח ביצועים.

התוכנה הזדונית תומכת במגוון רחב של יכולות שליטה מרחוק:

• הזרקה: הזרקת קוד מעטפת, קבצי DLL או קבצי הרצה לתהליכים
• drop: כותב ומפעיל קבצים על הדיסק
• צילום מסך: לוכד ומעלה נתוני מסך
• רישום מקלדת: מאפשר או מבטל רישום לחיצות מקלדת
• הסרת התקנה: מסיר מנגנוני התמדה ומנקה ארטיפקטים
• העלאה: מעלה הרשאות ל-SYSTEM באמצעות העלאת COM
• שדרוג לאחור: מפחית הרשאות מרמת SYSTEM לרמת מנהל

גרסת macOS: ערפול ותשתית C2 גמישה

ב-macOS, ההתקפה מנצלת AppleScript מעורפל המועבר דרך אותו מנגנון תוסף. הסקריפט עובר דרך רשימה מוגדרת מראש של דומיינים ומשתמש בטלגרם כפתרון חלופי לגילוי C2. עיצוב זה מאפשר סיבוב מהיר של תשתית, מה שהופך את אסטרטגיות חסימת דומיינים מסורתיות ללא יעילות.

השלב הסופי כולל אחזור וביצוע של מטען משני באמצעות osascript. עם זאת, עקב שרתי C2 לא פעילים בזמן הניתוח, היכולות המלאות של מטען זה נותרות לא ידועות.

תוצאות ההתקפה והשלכות אסטרטגיות

הפריצה שנצפתה לא צלחה בסופו של דבר, שכן אמצעי הגנה זיהו וחסמו את ההתקפה לפני שהמטרות הושגו. אף על פי כן, REF6598 מדגיש התפתחות משמעותית במתודולוגיה של גורמי איום.

על ידי ניצול יישומים מהימנים והסתמכות על שינויי תצורה המונעים על ידי המשתמש, יריבים עוקפים ביעילות בקרות אבטחה קונבנציונליות. גישה זו מדגישה מגמה הולכת וגוברת: הפיכת תכונות תוכנה לגיטימיות לנשק כערוצי ביצוע חשאיים, תוך הדגשת הצורך במודעות מוגברת של המשתמשים ובניטור התנהגותי בהגנות סייבר.