Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pancingan data TIKUS PHANTOMPULSE

TIKUS PHANTOMPULSE

Menjelang Mezo pada Pancingan data, Alat Pentadbiran Jauh
Terjemahkan ke

Satu kempen kejuruteraan sosial yang canggih telah muncul, mengeksploitasi Obsidian sebagai vektor akses awal untuk menggunakan trojan akses jauh Windows yang sebelum ini tidak didokumenkan yang dikenali sebagai PHANTOMPULSE. Kempen ini secara khusus menyasarkan individu yang beroperasi dalam sektor kewangan dan mata wang kripto, memanfaatkan kepercayaan pada alat yang sah untuk memintas jangkaan keselamatan tradisional.

Operasi REF6598: Penipuan Melalui Rangkaian Profesional

Dikenali sebagai REF6598 oleh penyelidik keselamatan siber, kempen ini menggunakan teknik kejuruteraan sosial termaju melalui LinkedIn dan Telegram. Sasaran pada mulanya didekati dengan dalih kerjasama dengan firma modal teroka. Perbualan kemudiannya beralih kepada sembang kumpulan Telegram yang diisi dengan 'rakan kongsi' yang menyamar, mewujudkan topeng kesahihan yang meyakinkan.

Dalam kumpulan ini, perbincangan berkisar tentang perkhidmatan kewangan dan strategi kecairan mata wang kripto, sekali gus mengukuhkan kredibiliti. Mangsa akhirnya diarahkan untuk mengakses papan pemuka kongsi melalui peti besi Obsidian yang dihoskan awan menggunakan kelayakan yang diberikan.

Pencetus Tersembunyi: Pengaktifan Bilik Kebal Berniat Jahat

Rantaian jangkitan diaktifkan apabila mangsa membuka peti besi kongsi dalam Obsidian. Pada peringkat ini, pengguna digesa untuk mendayakan penyegerakan untuk 'Pemalam komuniti yang dipasang', ciri yang dilumpuhkan secara lalai. Tindakan manual ini adalah penting kerana ia membolehkan konfigurasi berniat jahat terbenam dilaksanakan.

Penyerang mengeksploitasi pemalam yang sah, khususnya Shell Commands dan Hider, untuk menjalankan kod yang tidak dibenarkan. Walaupun Shell Commands memudahkan pelaksanaan, Hider menyembunyikan elemen antara muka seperti bar status dan petua alat, sekali gus mengurangkan kemungkinan pengesanan. Serangan bergantung sepenuhnya pada meyakinkan pengguna untuk mendayakan penyegerakan pemalam, sekali gus memintas perlindungan terbina dalam.

Pengelakan Secara Reka Bentuk: Hidup Daripada Ciri-ciri Sah

Kempen ini menonjol kerana penyalahgunaan strategiknya terhadap fungsi aplikasi yang dipercayai dan bukannya mengeksploitasi kelemahan perisian. Ciri-ciri utama termasuk:

  • Muatan berniat jahat terbenam dalam fail konfigurasi JSON, menjadikannya kurang berkemungkinan mencetuskan pengesanan antivirus tradisional
  • Pelaksanaan dilakukan melalui aplikasi berasaskan Elektron yang ditandatangani, yang merumitkan pengesanan berasaskan proses induk.
  • Kegigihan dan pelaksanaan arahan bergantung sepenuhnya pada mekanisme pemalam yang sah dalam aplikasi

Rantaian Jangkitan Windows: Daripada Loader kepada Backdoor Penghuni Memori

Pada sistem Windows, serangan tersebut memulakan rantaian pelaksanaan berasaskan PowerShell yang menggunakan pemuat perantaraan bernama PHANTOMPULL. Pemuat ini menyahsulit dan melancarkan PHANTOMPULSE secara langsung dalam memori, mengelakkan pengesanan berasaskan cakera.

PHANTOMPULSE menggabungkan resolusi Perintah-dan-Kawalan (C2) berasaskan rantaian blok dengan membuat pertanyaan kepada rangkaian Ethereum. Ia mengambil transaksi terkini yang dipautkan ke alamat dompet berkod keras untuk menentukan pelayan C2nya secara dinamik. Komunikasi dijalankan melalui WinHTTP, membolehkan penapisan data, pengambilan arahan dan pelaporan pelaksanaan.

Malware ini menyokong pelbagai keupayaan kawalan jauh:

  • suntikan: menyuntik shellcode, DLL atau fail boleh laku ke dalam proses
  • drop: menulis dan melaksanakan fail pada cakera
  • tangkapan skrin: menangkap dan memuat naik data skrin
  • keylog: mendayakan atau melumpuhkan pengelogan ketukan kekunci
  • nyahpasang: mengalih keluar mekanisme kegigihan dan membersihkan artifak
  • elevate: meningkatkan keistimewaan kepada SYSTEM menggunakan COM elevasi
  • penurunan taraf: mengurangkan keistimewaan daripada SISTEM ke peringkat pentadbir

Varian macOS: Kekeliruan dan Infrastruktur C2 Fleksibel

Pada macOS, serangan ini memanfaatkan AppleScript yang dikaburkan yang dihantar melalui mekanisme pemalam yang sama. Skrip tersebut melalui senarai domain yang telah ditetapkan dan menggunakan Telegram sebagai penyelesaian sementara untuk penemuan C2. Reka bentuk ini membolehkan penggiliran infrastruktur yang pantas, menjadikan strategi penyekatan domain tradisional tidak berkesan.

Peringkat terakhir melibatkan pengambilan dan pelaksanaan muatan sekunder melalui osascript. Walau bagaimanapun, disebabkan oleh pelayan C2 yang tidak aktif pada masa analisis, keupayaan penuh muatan ini masih belum ditentukan.

Hasil Serangan dan Implikasi Strategik

Pencerobohan yang diperhatikan akhirnya tidak berjaya, kerana langkah pertahanan mengesan dan menyekat serangan sebelum objektif dicapai. Walau bagaimanapun, REF6598 mengetengahkan evolusi yang ketara dalam metodologi pelaku ancaman.

Dengan mengeksploitasi aplikasi yang dipercayai dan bergantung pada perubahan konfigurasi yang dipacu pengguna, pihak musuh secara berkesan memintas kawalan keselamatan konvensional. Pendekatan ini menggariskan trend yang semakin meningkat: penggunaan ciri perisian yang sah sebagai senjata sebagai saluran pelaksanaan rahsia, menekankan keperluan untuk meningkatkan kesedaran pengguna dan pemantauan tingkah laku dalam pertahanan keselamatan siber.

Trending

Paling banyak dilihat

Memuatkan...