Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing PHANTOMPULS RAT

PHANTOMPULS RAT

Tegen Mezo in Phishing, Hulpmiddelen voor extern beheer
Vertalen naar:

Er is een geavanceerde social engineering-campagne opgedoken die Obsidian als toegangspoort gebruikt om een voorheen ongedocumenteerde Windows-trojan voor toegang op afstand, genaamd PHANTOMPULSE, te verspreiden. De campagne richt zich specifiek op personen die actief zijn in de financiële en cryptosector en maakt misbruik van het vertrouwen in legitieme tools om traditionele beveiligingsmaatregelen te omzeilen.

Operatie REF6598: Misleiding via professionele netwerken

Deze campagne, door cybersecurityonderzoekers aangeduid als REF6598, maakt gebruik van geavanceerde social engineering-technieken via LinkedIn en Telegram. Doelwitten worden aanvankelijk benaderd onder het mom van een samenwerking met een durfkapitaalbedrijf. De gesprekken worden vervolgens voortgezet in Telegram-groepschats met zogenaamde 'partners', waardoor een overtuigende schijn van legitimiteit ontstaat.

Binnen deze groepen draaien de discussies om financiële diensten en strategieën voor de liquiditeit van cryptovaluta, wat de geloofwaardigheid versterkt. Slachtoffers krijgen uiteindelijk instructies om via een in de cloud gehoste Obsidian-kluis toegang te krijgen tot een gedeeld dashboard met behulp van de verstrekte inloggegevens.

De verborgen trigger: kwaadwillige kluisactivering

De infectieketen wordt geactiveerd wanneer het slachtoffer de gedeelde kluis in Obsidian opent. Op dat moment wordt de gebruiker gevraagd om synchronisatie in te schakelen voor 'Geïnstalleerde community-plug-ins', een functie die standaard is uitgeschakeld. Deze handmatige actie is cruciaal, omdat hiermee ingebedde kwaadaardige configuraties kunnen worden uitgevoerd.

Aanvallers misbruiken legitieme plug-ins, met name Shell Commands en Hider, om ongeautoriseerde code uit te voeren. Shell Commands maakt de uitvoering mogelijk, terwijl Hider interface-elementen zoals de statusbalk en tooltips verbergt, waardoor de kans op detectie kleiner wordt. De aanval draait volledig om het overtuigen van de gebruiker om plug-insynchronisatie in te schakelen, waardoor ingebouwde beveiligingsmaatregelen worden omzeild.

Ontwijking door ontwerp: Leven van legitieme kenmerken

Deze campagne onderscheidt zich door het strategisch misbruiken van vertrouwde applicatiefuncties in plaats van het exploiteren van softwarekwetsbaarheden. Belangrijke kenmerken zijn onder meer:

  • Kwaadaardige payloads zijn ingebed in JSON-configuratiebestanden, waardoor de kans kleiner is dat ze door traditionele antivirusprogramma's worden gedetecteerd.
  • De uitvoering vindt plaats via een ondertekende, op Electron gebaseerde applicatie, wat detectie op basis van het ouderproces bemoeilijkt.
  • Het opslaan van bestanden en het uitvoeren van commando's zijn volledig afhankelijk van legitieme plugin-mechanismen binnen de applicatie.

Windows-infectieketen: van loader tot backdoor in het geheugen

Op Windows-systemen start de aanval een PowerShell-gebaseerde uitvoeringsketen die een tussenliggende loader genaamd PHANTOMPULL implementeert. Deze loader decodeert en start PHANTOMPULSE direct in het geheugen, waardoor detectie op de schijf wordt omzeild.

PHANTOMPULSE maakt gebruik van blockchain-gebaseerde Command-and-Control (C2)-resolutie door het Ethereum-netwerk te bevragen. Het haalt de meest recente transactie op die is gekoppeld aan een vastgelegd walletadres om dynamisch de C2-server te bepalen. Communicatie verloopt via WinHTTP, waardoor data-exfiltratie, het ophalen van commando's en rapportage van de uitvoering mogelijk zijn.

De malware ondersteunt een breed scala aan mogelijkheden voor afstandsbediening:

  • injecteren: injecteert shellcode, DLL's of uitvoerbare bestanden in processen.
  • drop: schrijft en voert bestanden op de schijf uit
  • screenshot: legt schermgegevens vast en uploadt deze
  • keylog: hiermee kunt u toetsaanslagen registreren of uitschakelen.
  • Deïnstalleren: verwijdert persistentiemechanismen en ruimt artefacten op.
  • elevate: verhoogt de bevoegdheden naar SYSTEM met behulp van COM-verhoging
  • downgraden: verlaagt de bevoegdheden van SYSTEM naar beheerdersniveau

macOS-variant: Obfuscatie en flexibele C2-infrastructuur

Op macOS maakt de aanval gebruik van een versleuteld AppleScript dat via hetzelfde pluginmechanisme wordt verspreid. Het script doorloopt een vooraf gedefinieerde lijst met domeinen en gebruikt Telegram als een fallback dead-drop resolver voor C2-detectie. Dit ontwerp maakt een snelle rotatie van de infrastructuur mogelijk, waardoor traditionele strategieën voor domeinblokkering ineffectief worden.

De laatste fase omvat het ophalen en uitvoeren van een secundaire payload via osascript. Omdat de C2-servers op het moment van analyse echter inactief waren, zijn de volledige mogelijkheden van deze payload nog niet vastgesteld.

Resultaat van de aanval en strategische implicaties

De waargenomen inbraak was uiteindelijk niet succesvol, omdat verdedigingsmaatregelen de aanval detecteerden en blokkeerden voordat de doelstellingen werden bereikt. Niettemin benadrukt REF6598 een significante evolutie in de methodologie van de dreigingsactoren.

Door misbruik te maken van vertrouwde applicaties en te vertrouwen op door gebruikers aangebrachte configuratiewijzigingen, omzeilen aanvallers effectief conventionele beveiligingsmaatregelen. Deze aanpak onderstreept een groeiende trend: het misbruiken van legitieme softwarefuncties als verborgen uitvoeringskanalen, wat de noodzaak benadrukt van verhoogd gebruikersbewustzijn en gedragsmonitoring in cyberbeveiligingsmaatregelen.

Trending

Meest bekeken

Bezig met laden...