Vairāku licenču atlaides piedāvājums
Draudu datu bāze Pikšķerēšana Fantompulsa žurka

Fantompulsa žurka

Līdz Mezo. gadam Pikšķerēšana, Attālās administrēšanas rīki. gadā
Tulkot uz:

Ir parādījusies sarežģīta sociālās inženierijas kampaņa, kurā Obsidian tiek izmantots kā sākotnējais piekļuves vektors, lai izvietotu iepriekš nedokumentētu Windows attālās piekļuves Trojas zirgu, kas pazīstams kā PHANTOMPULS. Kampaņa ir īpaši vērsta pret personām, kas darbojas finanšu un kriptovalūtu sektoros, izmantojot uzticēšanos leģitīmiem rīkiem, lai apietu tradicionālās drošības gaidas.

Operācija REF6598: Maldināšana, izmantojot profesionālos tīklus

Kiberdrošības pētnieku apzīmētā kampaņa ar REF6598 izmanto progresīvas sociālās inženierijas metodes, izmantojot LinkedIn un Telegram. Sākotnēji mērķiem tiek uzrunāts, aizbildinoties ar sadarbību ar riska kapitāla uzņēmumu. Pēc tam sarunas tiek pārslēgtas uz Telegram grupu tērzēšanu, kurā piedalās personificēti “partneri”, radot pārliecinošu leģitimitātes fasādi.

Šajās grupās diskusijas notiek par finanšu pakalpojumiem un kriptovalūtu likviditātes stratēģijām, tādējādi stiprinot ticamību. Cietušajiem galu galā tiek dots norādījums piekļūt koplietojamam informācijas panelim, izmantojot mākonī mitinātu Obsidian glabātuvi, izmantojot sniegtos akreditācijas datus.

Slēptais trigeris: ļaunprātīga glabātuves aktivizēšana

Infekcijas ķēde tiek aktivizēta, kad upuris atver koplietoto glabātuvi pakalpojumā Obsidian. Šajā posmā lietotājam tiek piedāvāts iespējot sinhronizāciju ar instalētajiem kopienas spraudņiem — funkciju, kas pēc noklusējuma ir atspējota. Šī manuālā darbība ir kritiski svarīga, jo tā ļauj izpildīt iegultās ļaunprātīgās konfigurācijas.

Uzbrucēji izmanto likumīgus spraudņus, īpaši Shell Commands un Hider, lai palaistu neatļautu kodu. Kamēr Shell Commands atvieglo izpildi, Hider slēpj saskarnes elementus, piemēram, statusa joslu un rīkjoslas padomus, samazinot atklāšanas iespējamību. Uzbrukums ir pilnībā atkarīgs no lietotāja pārliecināšanas iespējot spraudņu sinhronizāciju, tādējādi apejot iebūvētos drošības pasākumus.

Izvairīšanās pēc dizaina: dzīvošana, balstoties uz likumīgām iezīmēm

Šī kampaņa izceļas ar uzticamu lietojumprogrammu funkcionalitātes stratēģisku ļaunprātīgu izmantošanu, nevis programmatūras ievainojamību izmantošanu. Galvenās iezīmes ietver:

  • Ļaunprātīgas slodzes ir iegultas JSON konfigurācijas failos, tādējādi samazinot iespēju, ka tās aktivizēs tradicionālo pretvīrusu noteikšanu.
  • Izpilde tiek veikta, izmantojot parakstītu Electron lietojumprogrammu, kas sarežģī uz vecāku procesu balstītu noteikšanu.
  • Noturība un komandu izpilde pilnībā balstās uz likumīgiem spraudņu mehānismiem lietojumprogrammā.

Windows infekcijas ķēde: no ielādētāja līdz atmiņā esošai aizmugurējai durvīm

Windows sistēmās uzbrukums ierosina uz PowerShell balstītu izpildes ķēdi, kas izvieto starpposma ielādētāju ar nosaukumu PHANTOMPULL. Šis ielādētājs atšifrē un palaiž PHANTOMPULL tieši atmiņā, izvairoties no atklāšanas diskā.

PHANTOMPULSE ietver blokķēdes komandu un vadības (C2) risinājumu, vaicājot Ethereum tīklā. Tas izgūst jaunāko darījumu, kas saistīts ar cietkodētu maka adresi, lai dinamiski noteiktu tā C2 serveri. Saziņa tiek veikta, izmantojot WinHTTP, nodrošinot datu eksfiltrāciju, komandu izgūšanu un izpildes atskaites.

Ļaunprogrammatūra atbalsta plašu tālvadības iespēju klāstu:

  • inject: procesos injicē apvalkkodu, DLL vai izpildāmos failus
  • drop: ieraksta un izpilda failus diskā
  • ekrānuzņēmums: uztver un augšupielādē ekrāna datus
  • taustiņu reģistrēšana: iespējo vai atspējo taustiņu nospiešanas reģistrēšanu
  • atinstalēt: noņem noturības mehānismus un attīra artefaktus
  • elate: eskalē privilēģijas uz SYSTEM, izmantojot COM paaugstināšanu
  • pazemināt: samazina privilēģijas no SISTĒMAS līdz administratora līmenim

macOS variants: Aptumšošana un elastīga C2 infrastruktūra

macOS sistēmā uzbrukums izmanto apmulsinātu AppleScript, kas piegādāts, izmantojot to pašu spraudņa mehānismu. Skripts cikliski apstrādā iepriekš definētu domēnu sarakstu un izmanto Telegram kā rezerves strupceļa atrisinātāju C2 noteikšanai. Šis dizains nodrošina ātru infrastruktūras rotāciju, padarot tradicionālās domēnu bloķēšanas stratēģijas neefektīvas.

Pēdējais posms ietver sekundārās vērtās slodzes izgūšanu un izpildi, izmantojot osascript. Tomēr neaktīvo C2 serveru dēļ analīzes laikā šīs vērtās slodzes pilnās iespējas joprojām nav noteiktas.

Uzbrukuma iznākums un stratēģiskās sekas

Novērotais ielaušanās galu galā nebija veiksmīgs, jo aizsardzības pasākumi atklāja un bloķēja uzbrukumu, pirms tika sasniegti mērķi. Tomēr REF6598 uzsver būtisku apdraudējumu izpildītāju metodoloģijas attīstību.

Izmantojot uzticamas lietojumprogrammas un paļaujoties uz lietotāju vadītām konfigurācijas izmaiņām, pretinieki efektīvi apiet tradicionālās drošības kontroles. Šī pieeja uzsver pieaugošo tendenci: likumīgu programmatūras funkciju izmantošanu kā ieročus kā slepenus izpildes kanālus, uzsverot nepieciešamību pēc paaugstinātas lietotāju informētības un uzvedības uzraudzības kiberdrošības aizsardzībā.

Tendences

Ar mākslīgo intelektu vadīta Pushpaganda krāpniecība

Mēstules
Kiberdrošības pētnieki ir atklājuši sarežģītu reklāmas krāpšanas kampaņu ar kodēto nosaukumu Pushpaganda, kas apvieno meklētājprogrammu optimizācijas (SEO) saindēšanu ar mākslīgā intelekta ģenerētu saturu. Šī operācija ir paredzēta, lai manipulētu ar satura atklāšanas platformām, jo īpaši Google Discover, reklamējot maldinošas ziņas, kas šķiet īstas. Galīgais mērķis ir apmānīt lietotājus, lai...

Visvairāk skatīts

Notiek ielāde...