PHANTOMPULSE मुसा

एक परिष्कृत सामाजिक इन्जिनियरिङ अभियान देखा परेको छ, जसले ओब्सिडियनलाई प्रारम्भिक पहुँच भेक्टरको रूपमा प्रयोग गर्दै पहिले कागजात नगरिएको विन्डोज रिमोट एक्सेस ट्रोजनलाई PHANTOMPULSE भनेर चिनिन्छ। यो अभियानले विशेष गरी वित्तीय र क्रिप्टोकरेन्सी क्षेत्रहरूमा सञ्चालन गर्ने व्यक्तिहरूलाई लक्षित गर्दछ, परम्परागत सुरक्षा अपेक्षाहरूलाई बाइपास गर्न वैध उपकरणहरूमा विश्वासको लाभ उठाउँदै।

सञ्चालन REF6598: व्यावसायिक सञ्जालहरू मार्फत धोका

साइबर सुरक्षा अनुसन्धानकर्ताहरूद्वारा REF6598 को रूपमा तोकिएको, यो अभियानले LinkedIn र Telegram मार्फत उन्नत सामाजिक इन्जिनियरिङ प्रविधिहरू प्रयोग गर्दछ। सुरुमा एक उद्यम पूंजी फर्मसँग सहकार्यको बहानामा लक्ष्यहरू प्राप्त गरिन्छ। कुराकानीहरू पछि प्रतिरूपण गरिएका 'साझेदारहरू' ले भरिएका टेलिग्राम समूह च्याटहरूमा सारिन्छन्, जसले वैधताको एक विश्वस्त अनुहार सिर्जना गर्दछ।

यी समूहहरू भित्र, छलफलहरू वित्तीय सेवाहरू र क्रिप्टोकरेन्सी तरलता रणनीतिहरूको वरिपरि घुम्छन्, जसले विश्वसनीयतालाई सुदृढ बनाउँछ। पीडितहरूलाई अन्ततः प्रदान गरिएको प्रमाणहरू प्रयोग गरेर क्लाउड-होस्ट गरिएको ओब्सिडियन भल्ट मार्फत साझा ड्यासबोर्ड पहुँच गर्न निर्देशन दिइन्छ।

लुकेको ट्रिगर: दुर्भावनापूर्ण भल्ट सक्रियता

पीडितले ओब्सिडियन भित्र साझा भल्ट खोल्दा संक्रमण श्रृंखला सक्रिय हुन्छ। यस चरणमा, प्रयोगकर्तालाई 'स्थापित समुदाय प्लगइनहरू' को लागि सिङ्क्रोनाइजेसन सक्षम गर्न प्रेरित गरिन्छ, जुन सुविधा पूर्वनिर्धारित रूपमा असक्षम पारिएको हुन्छ। यो म्यानुअल कार्य महत्त्वपूर्ण छ, किनकि यसले एम्बेडेड मालिसियस कन्फिगरेसनहरूलाई कार्यान्वयन गर्न अनुमति दिन्छ।

आक्रमणकारीहरूले अनधिकृत कोड चलाउन वैध प्लगइनहरू, विशेष गरी शेल कमाण्डहरू र हाइडरको शोषण गर्छन्। शेल कमाण्डहरूले कार्यान्वयनलाई सहज बनाउँछन्, हाइडरले स्थिति पट्टी र टूलटिप्स जस्ता इन्टरफेस तत्वहरू लुकाउँछ, जसले गर्दा पत्ता लगाउने सम्भावना कम हुन्छ। आक्रमण पूर्ण रूपमा प्रयोगकर्तालाई प्लगइन सिङ्क्रोनाइजेसन सक्षम गर्न मनाउनमा निर्भर गर्दछ, जसले गर्दा निर्मित सुरक्षा उपायहरू बाइपास गरिन्छ।

डिजाइनद्वारा छल: वैध सुविधाहरूबाट टाढा रहनु

यो अभियान सफ्टवेयर कमजोरीहरूको शोषण गर्नुको सट्टा विश्वसनीय अनुप्रयोग कार्यक्षमताको रणनीतिक दुरुपयोगको लागि अलग छ। मुख्य विशेषताहरू समावेश छन्:

• खराब पेलोडहरू JSON कन्फिगरेसन फाइलहरू भित्र इम्बेड गरिएका छन्, जसले गर्दा परम्परागत एन्टिभाइरस पत्ता लगाउने सम्भावना कम हुन्छ।
• कार्यान्वयन हस्ताक्षर गरिएको इलेक्ट्रोन-आधारित अनुप्रयोग मार्फत गरिन्छ, जसले अभिभावक-प्रक्रिया-आधारित पत्ता लगाउने प्रक्रियालाई जटिल बनाउँछ।
• दृढता र आदेश कार्यान्वयन पूर्ण रूपमा अनुप्रयोग भित्रको वैध प्लगइन संयन्त्रमा निर्भर गर्दछ।

विन्डोज इन्फेक्सन चेन: लोडरबाट मेमोरी-रेसिडेन्ट ब्याकडोरसम्म

विन्डोज प्रणालीहरूमा, आक्रमणले PowerShell-आधारित कार्यान्वयन श्रृंखला सुरु गर्छ जसले PHANTOMPULL नामक एक मध्यवर्ती लोडर तैनाथ गर्छ। यो लोडरले डिस्क-आधारित पत्ता लगाउनबाट बच्दै, मेमोरीमा सिधै PHANTOMPULSE लाई डिक्रिप्ट र सुरुवात गर्छ।

PHANTOMPULSE ले इथेरियम नेटवर्कलाई क्वेरी गरेर ब्लकचेन-आधारित कमाण्ड-एन्ड-कन्ट्रोल (C2) रिजोल्युसन समावेश गर्दछ। यसले यसको C2 सर्भरलाई गतिशील रूपमा निर्धारण गर्न हार्ड-कोडेड वालेट ठेगानासँग लिङ्क गरिएको पछिल्लो लेनदेन पुन: प्राप्त गर्दछ। सञ्चार WinHTTP मार्फत सञ्चालन गरिन्छ, जसले डेटा एक्सफिल्ट्रेसन, कमाण्ड पुन: प्राप्ति, र कार्यान्वयन रिपोर्टिङ सक्षम पार्छ।

मालवेयरले रिमोट कन्ट्रोल क्षमताहरूको विस्तृत सेटलाई समर्थन गर्दछ:

• इन्जेक्ट गर्नुहोस्: प्रक्रियाहरूमा शेलकोड, DLL, वा कार्यान्वयनयोग्यहरू इन्जेक्ट गर्दछ।
• ड्रप: डिस्कमा फाइलहरू लेख्छ र कार्यान्वयन गर्छ।
• स्क्रिनसट: स्क्रिन डेटा खिच्छ र अपलोड गर्छ
• keylog: किस्ट्रोक लगिङ सक्षम वा असक्षम पार्छ
• अनइन्स्टल गर्नुहोस्: दृढता संयन्त्र हटाउँछ र कलाकृतिहरू सफा गर्छ
• elevate: COM elevation प्रयोग गरेर SYSTEM मा विशेषाधिकारहरू बढाउँछ।
• डाउनग्रेड: SYSTEM बाट प्रशासक स्तरमा विशेषाधिकार घटाउँछ

macOS भेरियन्ट: अस्पष्टता र लचिलो C2 पूर्वाधार

macOS मा, आक्रमणले उही प्लगइन संयन्त्र मार्फत डेलिभर गरिएको अस्पष्ट AppleScript प्रयोग गर्दछ। स्क्रिप्टले डोमेनहरूको पूर्वनिर्धारित सूची मार्फत चक्र गर्छ र C2 खोजको लागि टेलिग्रामलाई फलब्याक डेड-ड्रप रिजल्भरको रूपमा प्रयोग गर्दछ। यो डिजाइनले पूर्वाधारको द्रुत रोटेशनलाई सक्षम बनाउँछ, जसले परम्परागत डोमेन-ब्लकिङ रणनीतिहरूलाई अप्रभावी बनाउँछ।

अन्तिम चरणमा ओसास्क्रिप्ट मार्फत माध्यमिक पेलोड पुन: प्राप्त गर्ने र कार्यान्वयन गर्ने समावेश छ। यद्यपि, विश्लेषणको समयमा निष्क्रिय C2 सर्भरहरूको कारणले गर्दा, यस पेलोडको पूर्ण क्षमताहरू अनिश्चित रहन्छन्।

आक्रमणको नतिजा र रणनीतिक प्रभावहरू

अवलोकन गरिएको घुसपैठ अन्ततः असफल भयो, किनकि उद्देश्यहरू प्राप्त हुनुभन्दा पहिले नै रक्षात्मक उपायहरूले आक्रमण पत्ता लगाए र रोके। तैपनि, REF6598 ले खतरा अभिनेता पद्धतिमा महत्त्वपूर्ण विकासलाई हाइलाइट गर्दछ।

विश्वसनीय अनुप्रयोगहरूको शोषण गरेर र प्रयोगकर्ता-संचालित कन्फिगरेसन परिवर्तनहरूमा भर परेर, विरोधीहरूले परम्परागत सुरक्षा नियन्त्रणहरूलाई प्रभावकारी रूपमा बाइपास गर्छन्। यो दृष्टिकोणले बढ्दो प्रवृत्तिलाई जोड दिन्छ: गोप्य कार्यान्वयन च्यानलहरूको रूपमा वैध सफ्टवेयर सुविधाहरूको हतियारीकरण, साइबर सुरक्षा प्रतिरक्षामा बढ्दो प्रयोगकर्ता जागरूकता र व्यवहारिक अनुगमनको आवश्यकतालाई जोड दिन्छ।