Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Adathalászat FANTOMPULSZ PATKÁNY

FANTOMPULSZ PATKÁNY

Mezo -ra Adathalászat, Távoli adminisztrációs eszközök-ben
Fordítás ide:

Egy kifinomult, szociális manipulációra épülő kampány indult, amely az Obsidian nevű kezdeti hozzáférési vektort használja ki egy korábban nem dokumentált, PHANTOMPULSE néven ismert Windows távoli hozzáférést biztosító trójai vírus telepítéséhez. A kampány kifejezetten a pénzügyi és kriptovaluta szektorban működő személyeket célozza meg, kihasználva a legitim eszközökbe vetett bizalmat a hagyományos biztonsági elvárások megkerülésére.

REF6598 hadművelet: Megtévesztés szakmai hálózatokon keresztül

A kiberbiztonsági kutatók által REF6598-ként jelölt kampány fejlett társadalmi manipulációs technikákat alkalmaz a LinkedInen és a Telegramon keresztül. A célpontokat kezdetben egy kockázati tőkebefektetővel való együttműködés ürügyén közelítik meg. A beszélgetéseket ezt követően Telegram-csoportos csevegésekbe kapcsolják át, amelyeket megszemélyesített „partnerek” töltenek be, meggyőző legitimitás látszatot keltve.

Ezeken a csoportokon belül a pénzügyi szolgáltatások és a kriptovaluta-likviditási stratégiák körül forognak a megbeszélések, megerősítve a hitelességet. Az áldozatokat végül arra utasítják, hogy a megadott hitelesítő adatokkal egy felhőalapú Obsidian-tárolón keresztül férjenek hozzá egy megosztott irányítópulthoz.

A rejtett kiváltó ok: a kártékony trezor aktiválása

A fertőzési lánc akkor aktiválódik, amikor az áldozat megnyitja a megosztott tárolót az Obsidianon belül. Ebben a szakaszban a felhasználót a rendszer kéri, hogy engedélyezze a „Telepített közösségi bővítmények” szinkronizálását, ez a funkció alapértelmezés szerint le van tiltva. Ez a manuális művelet kritikus fontosságú, mivel lehetővé teszi a beágyazott rosszindulatú konfigurációk végrehajtását.

A támadók legitim bővítményeket, különösen a Shell Commands és a Hider funkciókat használják ki jogosulatlan kód futtatására. Míg a Shell Commands megkönnyíti a végrehajtást, a Hider elrejti a felhasználói felület elemeit, például az állapotsort és az eszköztippeket, csökkentve az észlelés valószínűségét. A támadás teljes mértékben azon múlik, hogy meggyőzzék a felhasználót a bővítmények szinkronizálásának engedélyezéséről, ezáltal megkerülve a beépített védelmi mechanizmusokat.

Tervezett kijátszás: Jogos tulajdonságokból élni

Ez a kampány a megbízható alkalmazások funkcióinak stratégiai visszaéléseivel tűnik ki, ahelyett, hogy szoftveres sebezhetőségeket használna ki. Főbb jellemzői a következők:

  • A rosszindulatú hasznos fájlok JSON konfigurációs fájlokba vannak ágyazva, így kisebb valószínűséggel indítanak el hagyományos víruskereső észlelést.
  • A végrehajtás egy aláírt Electron-alapú alkalmazáson keresztül történik, ami bonyolítja a szülőfolyamat-alapú észlelést.
  • A perzisztencia és a parancsok végrehajtása teljes mértékben az alkalmazáson belüli legitim bővítménymechanizmusokra támaszkodik.

Windows fertőzési lánc: a betöltőtől a memóriában tárolt hátsó ajtóig

Windows rendszereken a támadás egy PowerShell-alapú végrehajtási láncot indít el, amely egy PHANTOMPULL nevű köztes betöltőt telepít. Ez a betöltő közvetlenül a memóriában dekódolja és indítja el a PHANTOMPULLSE-t, elkerülve a lemezalapú észlelést.

A PHANTOMPULSE blokklánc-alapú Command-and-Control (C2) felbontást alkalmaz az Ethereum hálózat lekérdezésével. Lekéri a legújabb, fixen kódolt tárcacímhez kapcsolódó tranzakciót, hogy dinamikusan meghatározza a C2 szerverét. A kommunikáció WinHTTP-n keresztül zajlik, lehetővé téve az adatok kiszűrését, a parancsok lekérését és a végrehajtási jelentések készítését.

A rosszindulatú program a távvezérlési képességek széles skáláját támogatja:

  • injektálás: shellkódot, DLL-eket vagy futtatható fájlokat injektál a folyamatokba
  • drop: fájlokat ír a lemezre és hajt végre rajta
  • képernyőkép: képernyőadatok rögzítése és feltöltése
  • billentyűnapló: engedélyezi vagy letiltja a billentyűleütések naplózását
  • eltávolítás: eltávolítja a megmaradási mechanizmusokat és megtisztítja a műtermékeket
  • emelés: COM jogosultságemeléssel eszkalálja a jogosultságokat a SYSTEM-re
  • visszalépés: a jogosultságokat SYSTEM szintről rendszergazdai szintre csökkenti

macOS variáns: Kötésmegjelenítés és rugalmas C2 infrastruktúra

macOS rendszeren a támadás egy obfuszkált AppleScriptet használ, amelyet ugyanazon a bővítménymechanizmuson keresztül szállítanak. A szkript végighalad egy előre definiált domainlistán, és a Telegramot használja tartalék holtpont-feloldóként a C2 felderítéséhez. Ez a kialakítás lehetővé teszi az infrastruktúra gyors rotációját, így a hagyományos domainblokkoló stratégiák hatástalanok.

Az utolsó szakasz egy másodlagos hasznos adat lekérését és végrehajtását foglalja magában osascript segítségével. Az elemzés időpontjában inaktív C2 szerverek miatt azonban ennek a hasznos adatnak a teljes képességei továbbra sem ismertek.

Támadás kimenetele és stratégiai következményei

A megfigyelt behatolás végül sikertelen volt, mivel a védelmi intézkedések észlelték és blokkolták a támadást, mielőtt a célok megvalósultak volna. Mindazonáltal a REF6598 jelentős fejlődést mutat be a fenyegető szereplők módszertanában.

A megbízható alkalmazások kihasználásával és a felhasználó által vezérelt konfigurációs változtatásokra hagyatkozva a támadók hatékonyan megkerülik a hagyományos biztonsági ellenőrzéseket. Ez a megközelítés egy növekvő trendet hangsúlyoz: a legitim szoftverfunkciók fegyverként való felhasználását rejtett végrehajtási csatornákként, hangsúlyozva a fokozott felhasználói tudatosság és viselkedés-monitorozás szükségességét a kiberbiztonsági védelemben.

Felkapott

Legnézettebb

Betöltés...