Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Sukčiavimas Fantompulso žiurkė

Fantompulso žiurkė

Autorius Mezo, Sukčiavimas, Nuotolinio administravimo įrankiai
Versti į:

Pradėta vykdyti sudėtinga socialinės inžinerijos kampanija, kurios metu „Obsidian“ kaip pradinis prieigos vektorius naudojamas dislokuoti anksčiau nedokumentuotą „Windows“ nuotolinės prieigos Trojos arklį, žinomą kaip PHANTOMPULS. Kampanija konkrečiai nukreipta į asmenis, veikiančius finansų ir kriptovaliutų sektoriuose, pasitelkiant pasitikėjimą teisėtomis priemonėmis, siekiant apeiti tradicinius saugumo lūkesčius.

Operacija REF6598: Apgaulė per profesinius tinklus

Kibernetinio saugumo tyrėjų pavadinta REF6598, ši kampanija per „LinkedIn“ ir „Telegram“ naudoja pažangius socialinės inžinerijos metodus. Iš pradžių taikiniai užpuolami bendradarbiaujant su rizikos kapitalo įmone. Vėliau pokalbiai perkeliami į „Telegram“ grupių pokalbius, kuriuose dalyvauja apsimetėliai „partneriai“, taip sukuriant įtikinamą teisėtumo fasadą.

Šiose grupėse diskusijos sukasi apie finansines paslaugas ir kriptovaliutų likvidumo strategijas, taip sustiprinant patikimumą. Galiausiai aukoms nurodoma prisijungti prie bendros ataskaitų srities per debesyje talpinamą „Obsidian“ saugyklą, naudojant pateiktus prisijungimo duomenis.

Paslėptas veiksnys: kenkėjiškas saugyklos aktyvinimas

Užkrėtimo grandinė aktyvuojama, kai auka atidaro bendrą saugyklą „Obsidian“ sistemoje. Šiame etape vartotojo prašoma įjungti sinchronizavimą su „Įdiegtais bendruomenės papildiniais“ – funkcija, kuri pagal numatytuosius nustatymus yra išjungta. Šis rankinis veiksmas yra labai svarbus, nes leidžia vykdyti įterptąsias kenkėjiškas konfigūracijas.

Užpuolikai išnaudoja teisėtus papildinius, konkrečiai „Shell Commands“ ir „Hider“, kad paleistų neleistiną kodą. Nors „Shell Commands“ palengvina vykdymą, „Hider“ paslepia sąsajos elementus, tokius kaip būsenos juosta ir įrankių užuominos, taip sumažindami aptikimo tikimybę. Ataka visiškai priklauso nuo to, ar pavyksta įtikinti vartotoją įjungti papildinių sinchronizavimą, taip apeinant integruotas apsaugos priemones.

Sąmoningas vengimas: gyvenimas iš teisėtų savybių

Ši kampanija išsiskiria tuo, kad strategiškai piktnaudžiauja patikimų programų funkcijomis, o ne išnaudoja programinės įrangos pažeidžiamumus. Pagrindinės savybės:

  • Kenkėjiškos naudingosios apkrovos yra įterptos į JSON konfigūracijos failus, todėl mažesnė tikimybė, kad jos suaktyvins tradicinį antivirusinių programų aptikimą.
  • Vykdymas atliekamas per pasirašytą „Electron“ pagrindu veikiančią programą, o tai apsunkina tėvų ir procesų pagrindu atliekamą aptikimą.
  • Nuolatinis veikimas ir komandų vykdymas visiškai priklauso nuo teisėtų programos papildinių mechanizmų.

„Windows“ užkrato grandinė: nuo įkrovos programos iki atmintyje esančių galinių durų

„Windows“ sistemose ataka inicijuoja „PowerShell“ pagrindu veikiančią vykdymo grandinę, kuri diegia tarpinį įkrovos įrankį, vadinamą PHANTOMPULL. Šis įkrovos įrankis iššifruoja ir paleidžia PHANTOMPULL tiesiai atmintyje, išvengdamas aptikimo diske.

„PHANTOMPULSE“ naudoja blokų grandinės pagrindu veikiančią komandų ir valdymo (C2) technologiją, užklausdama „Ethereum“ tinklą. Ji nuskaito naujausią operaciją, susietą su užkoduotu piniginės adresu, kad dinamiškai nustatytų savo C2 serverį. Ryšys vykdomas per „WinHTTP“, o tai leidžia išgauti duomenis, gauti komandas ir teikti vykdymo ataskaitas.

Kenkėjiška programa palaiko platų nuotolinio valdymo galimybių rinkinį:

  • inject: į procesus įterpia apvalkalinį kodą, DLL arba vykdomuosius failus
  • drop: įrašo ir vykdo failus diske
  • ekrano kopija: fiksuoja ir įkelia ekrano duomenis
  • keylog: įjungia arba išjungia klavišų paspaudimų registravimą
  • pašalinimas: pašalina atkaklumo mechanizmus ir išvalo artefaktus
  • elevate: perkelia privilegijas į SYSTEM naudojant COM aukštinimą
  • žemesnė versija: sumažina teises nuo SISTEMOS iki administratoriaus lygio

„macOS“ variantas: obfuskacija ir lanksti C2 infrastruktūra

„macOS“ sistemoje ataka naudoja užmaskuotą „AppleScript“ kodą, teikiamą per tą patį įskiepio mechanizmą. Skriptas peržiūri iš anksto nustatytą domenų sąrašą ir naudoja „Telegram“ kaip atsarginį neveikiančių domenų paieškos sprendimą C2 aptikimui. Ši konstrukcija leidžia greitai keisti infrastruktūrą, todėl tradicinės domenų blokavimo strategijos tampa neveiksmingos.

Paskutinis etapas apima antrinio naudingojo turinio gavimą ir vykdymą naudojant „osascript“. Tačiau dėl neaktyvių C2 serverių analizės metu visos šio naudingojo turinio galimybės lieka nenustatytos.

Išpuolio rezultatas ir strateginės pasekmės

Stebėtas įsilaužimas galiausiai buvo nesėkmingas, nes gynybinės priemonės aptiko ir užblokavo ataką dar nepasiekus tikslų. Nepaisant to, REF6598 pabrėžia reikšmingą grėsmių veikėjų metodologijos evoliuciją.

Pasinaudodami patikimomis programomis ir pasikliaudami naudotojų atliekamais konfigūracijos pakeitimais, priešininkai efektyviai apeina įprastas saugumo kontrolės priemones. Toks požiūris pabrėžia augančią tendenciją: teisėtų programinės įrangos funkcijų pavertimą ginklu kaip slaptais vykdymo kanalais, o tai pabrėžia didesnio naudotojų informuotumo ir elgsenos stebėjimo poreikį kibernetinio saugumo gynyboje.

Tendencijos

Dirbtinio intelekto valdoma „Pushpaganda“ sukčiavimas

Šlamštas
Kibernetinio saugumo tyrėjai atskleidė sudėtingą reklamos sukčiavimo kampaniją, kodiniu pavadinimu „Pushpaganda“, kurioje paieškos sistemų optimizavimas (SEO) derinamas su dirbtinio intelekto sukurtu turiniu. Ši operacija skirta manipuliuoti turinio paieškos platformomis, ypač „Google Discover“, reklamuojant klaidinančias naujienas, kurios atrodo teisėtos. Galutinis tikslas – apgauti...

Labiausiai žiūrima

Įkeliama...