Rabatttilbud for flere lisenser
Trusseldatabase Phishing FANTOMPULS-ROTTE

FANTOMPULS-ROTTE

Med Mezo i Phishing, Fjernadministrasjonsverktøy
Oversett til:

En sofistikert sosial manipuleringskampanje har dukket opp, som utnytter Obsidian som en innledende tilgangsvektor for å distribuere en tidligere udokumentert Windows-trojaner for fjerntilgang kjent som PHANTOMPULSE. Kampanjen retter seg spesielt mot enkeltpersoner som opererer innen finans- og kryptovalutasektoren, og utnytter tilliten til legitime verktøy for å omgå tradisjonelle sikkerhetsforventninger.

Operasjon REF6598: Bedrag gjennom profesjonelle nettverk

Denne kampanjen, som er utpekt som REF6598 av cybersikkerhetsforskere, benytter avanserte sosial manipuleringsteknikker via LinkedIn og Telegram. Målene blir først kontaktet under påskudd av samarbeid med et risikokapitalfirma. Samtalene går deretter over til Telegram-gruppechatter fylt med imiterte «partnere», noe som skaper en overbevisende fasade av legitimitet.

Innenfor disse gruppene dreier diskusjonene seg om finansielle tjenester og strategier for kryptovalutalikviditet, noe som styrker troverdigheten. Ofrene blir til slutt bedt om å få tilgang til et delt dashbord gjennom et skybasert Obsidian-hvelv ved hjelp av oppgitte påloggingsinformasjon.

Den skjulte utløseren: Aktivering av ondsinnet hvelv

Infeksjonskjeden aktiveres når offeret åpner det delte hvelvet i Obsidian. På dette stadiet blir brukeren bedt om å aktivere synkronisering for «Installerte fellesskapspluginer», en funksjon som er deaktivert som standard. Denne manuelle handlingen er kritisk, ettersom den tillater at innebygde, skadelige konfigurasjoner kjøres.

Angripere utnytter legitime programtillegg, spesielt Shell Commands og Hider, for å kjøre uautorisert kode. Mens Shell Commands forenkler utførelse, skjuler Hider grensesnittelementer som statuslinjen og verktøytips, noe som reduserer sannsynligheten for oppdagelse. Angrepet er utelukkende avhengig av å overbevise brukeren om å aktivere synkronisering av programtillegg, og dermed omgå innebygde sikkerhetstiltak.

Unnvikelse gjennom design: Leve av legitime funksjoner

Denne kampanjen skiller seg ut ved sitt strategiske misbruk av funksjonaliteten til pålitelige applikasjoner i stedet for å utnytte programvaresårbarheter. Viktige kjennetegn inkluderer:

  • Ondsinnede nyttelaster er innebygd i JSON-konfigurasjonsfiler, noe som gjør det mindre sannsynlig at de utløser tradisjonell antivirusdeteksjon.
  • Utførelsen utføres gjennom en signert elektronbasert applikasjon, noe som kompliserer deteksjon basert på foreldreprosesser.
  • Persistens og kommandoutførelse er helt avhengig av legitime plugin-mekanismer i applikasjonen.

Windows-infeksjonskjede: Fra laster til minneresident bakdør

På Windows-systemer starter angrepet en PowerShell-basert utførelseskjede som distribuerer en mellomliggende laster kalt PHANTOMPULL. Denne lasteren dekrypterer og starter PHANTOMPULSE direkte i minnet, og unngår diskbasert deteksjon.

PHANTOMPULSE bruker blokkjedebasert kommando-og-kontroll (C2)-løsning ved å spørre Ethereum-nettverket. Den henter den siste transaksjonen knyttet til en hardkodet lommebokadresse for dynamisk å bestemme C2-serveren. Kommunikasjon utføres via WinHTTP, noe som muliggjør datautfiltrering, kommandohenting og utførelsesrapportering.

Skadevaren støtter et bredt sett med fjernkontrollfunksjoner:

  • injisere: injiserer skallkode, DLL-er eller kjørbare filer i prosesser
  • drop: skriver og kjører filer på disk
  • skjermbilde: tar opp og laster opp skjermdata
  • tastelogg: aktiverer eller deaktiverer tastetrykklogging
  • avinstaller: fjerner vedvarende mekanismer og renser artefakter
  • heve: eskalerer privilegier til SYSTEM ved hjelp av COM-heving
  • nedgradering: reduserer rettigheter fra SYSTEM- til administratornivå

macOS-variant: Obfuskering og fleksibel C2-infrastruktur

På macOS utnytter angrepet et obfuskert AppleScript levert gjennom den samme plugin-mekanismen. Skriptet går gjennom en forhåndsdefinert liste over domener og bruker Telegram som en reserve-dead-drop-resolver for C2-oppdagelse. Denne designen muliggjør rask rotasjon av infrastruktur, noe som gjør tradisjonelle domeneblokkeringsstrategier ineffektive.

Det siste stadiet innebærer å hente og kjøre en sekundær nyttelast via osascript. På grunn av inaktive C2-servere på analysetidspunktet er imidlertid de fulle egenskapene til denne nyttelasten fortsatt ukjente.

Angrepsutfall og strategiske implikasjoner

Den observerte inntrengingen var til slutt mislykket, ettersom defensive tiltak oppdaget og blokkerte angrepet før målene ble oppnådd. Likevel fremhever REF6598 en betydelig utvikling i trusselaktørenes metodikk.

Ved å utnytte pålitelige applikasjoner og stole på brukerdrevne konfigurasjonsendringer, omgår motstandere effektivt konvensjonelle sikkerhetskontroller. Denne tilnærmingen understreker en voksende trend: bevæpning av legitime programvarefunksjoner som skjulte utførelseskanaler, noe som understreker behovet for økt brukerbevissthet og atferdsovervåking i cybersikkerhetsforsvar.

Trender

Mest sett

Laster inn...