Ponuda s popustom na više licenci
Baza prijetnji Krađa identiteta FANTOMPULS ŠTAKO

FANTOMPULS ŠTAKO

Do Mezo. Krađa identiteta, Alati za udaljenu administraciju. godine
Prevedi na:

Pojavila se sofisticirana kampanja socijalnog inženjeringa koja iskorištava Obsidian kao početni vektor pristupa za implementaciju prethodno nedokumentiranog trojanca za udaljeni pristup sustavu Windows poznatog kao PHANTOMPULSE. Kampanja je posebno usmjerena na pojedince koji posluju u financijskom sektoru i sektoru kriptovaluta, iskorištavajući povjerenje u legitimne alate kako bi zaobišla tradicionalna sigurnosna očekivanja.

Operacija REF6598: Obmana putem profesionalnih mreža

Označena kao REF6598 od strane istraživača kibernetičke sigurnosti, ova kampanja koristi napredne tehnike društvenog inženjeringa putem LinkedIna i Telegrama. Metama se u početku pristupa pod izlikom suradnje s tvrtkom rizičnog kapitala. Razgovori se potom prebacuju u grupne chatove na Telegramu s lažnim "partnerima", stvarajući uvjerljivu fasadu legitimnosti.

Unutar tih grupa rasprave se vrte oko financijskih usluga i strategija likvidnosti kriptovaluta, jačajući kredibilitet. Žrtve se u konačnici upućuju da pristupe zajedničkoj nadzornoj ploči putem Obsidian trezora u oblaku koristeći pružene vjerodajnice.

Skriveni okidač: Zlonamjerna aktivacija trezora

Lanac zaraze aktivira se kada žrtva otvori dijeljeni trezor unutar Obsidiana. U ovoj fazi od korisnika se traži da omogući sinkronizaciju za 'Instalirane dodatke zajednice', značajku koja je prema zadanim postavkama onemogućena. Ova ručna radnja je ključna jer omogućuje izvršavanje ugrađenih zlonamjernih konfiguracija.

Napadači iskorištavaju legitimne dodatke, posebno Shell Commands i Hider, za pokretanje neovlaštenog koda. Dok Shell Commands olakšava izvršavanje, Hider skriva elemente sučelja poput statusne trake i opisa alata, smanjujući vjerojatnost otkrivanja. Napad se u potpunosti temelji na uvjeravanju korisnika da omogući sinkronizaciju dodataka, čime se zaobilaze ugrađene zaštitne mjere.

Izbjegavanje po namjeri: Život na temelju legitimnih značajki

Ova kampanja ističe se strateškom zlouporabom funkcionalnosti pouzdanih aplikacija, a ne iskorištavanjem softverskih ranjivosti. Ključne karakteristike uključuju:

  • Zlonamjerni korisni sadržaji ugrađeni su u JSON konfiguracijske datoteke, što smanjuje vjerojatnost da će pokrenuti tradicionalno antivirusno otkrivanje.
  • Izvršavanje se vrši putem potpisane aplikacije temeljene na Electronu, što komplicira detekciju temeljenu na roditeljskom procesu.
  • Perzistentnost i izvršavanje naredbi u potpunosti se oslanjaju na legitimne mehanizme dodataka unutar aplikacije

Lanac infekcije sustava Windows: od programa za učitavanje do memorijski rezidentnih stražnjih vrata

Na Windows sustavima, napad pokreće lanac izvršenja temeljen na PowerShellu koji implementira posrednički program za učitavanje pod nazivom PHANTOMPULL. Ovaj program za učitavanje dešifrira i pokreće PHANTOMPULSE izravno u memoriji, izbjegavajući detekciju na disku.

PHANTOMPULSE uključuje rješavanje naredbi i upravljanja (C2) temeljeno na blockchainu upitima Ethereum mreži. Dohvaća najnoviju transakciju povezanu s čvrsto kodiranom adresom novčanika kako bi dinamički odredio svoj C2 poslužitelj. Komunikacija se provodi putem WinHTTP-a, što omogućuje izvlačenje podataka, dohvaćanje naredbi i izvještavanje o izvršenju.

Zlonamjerni softver podržava širok skup mogućnosti daljinskog upravljanja:

  • inject: ubrizgava shellcode, DLL-ove ili izvršne datoteke u procese
  • drop: zapisuje i izvršava datoteke na disku
  • snimka zaslona: snima i prenosi podatke s zaslona
  • keylog: omogućuje ili onemogućuje zapisivanje pritisaka tipki
  • deinstalacija: uklanja mehanizme perzistencije i čisti artefakte
  • elevate: eskalira privilegije na SYSTEM koristeći COM elevaciju
  • snižavanje razine: smanjuje privilegije sa SYSTEM na administratorsku razinu

macOS varijanta: Obfuskacija i fleksibilna C2 infrastruktura

Na macOS-u, napad koristi obfusirani AppleScript isporučen putem istog mehanizma dodatka. Skripta ciklički prolazi kroz unaprijed definirani popis domena i koristi Telegram kao rezervni dead-drop resolver za otkrivanje C2. Ovaj dizajn omogućuje brzu rotaciju infrastrukture, čineći tradicionalne strategije blokiranja domena neučinkovitima.

Završna faza uključuje dohvaćanje i izvršavanje sekundarnog sadržaja putem osascripta. Međutim, zbog neaktivnih C2 poslužitelja u vrijeme analize, pune mogućnosti ovog sadržaja ostaju neodređene.

Ishod napada i strateške implikacije

Uočeni upad na kraju je bio neuspješan, jer su obrambene mjere otkrile i blokirale napad prije nego što su ciljevi postignuti. Ipak, REF6598 ističe značajnu evoluciju u metodologiji aktera prijetnji.

Iskorištavanjem pouzdanih aplikacija i oslanjanjem na promjene konfiguracije koje pokreću korisnici, protivnici učinkovito zaobilaze konvencionalne sigurnosne kontrole. Ovaj pristup naglašava rastući trend: pretvaranje legitimnih softverskih značajki u tajne kanale izvršavanja, naglašavajući potrebu za povećanom sviješću korisnika i praćenjem ponašanja u kibernetičkoj obrani.

U trendu

Nagledanije

Učitavam...