SZCZUR FANTOMPULSOWY
Pojawiła się zaawansowana kampania socjotechniczna, wykorzystująca Obsidian jako wektor dostępu początkowego do wdrożenia wcześniej nieudokumentowanego trojana zdalnego dostępu dla systemu Windows, znanego jako PHANTOMPULSE. Kampania jest wymierzona w osoby działające w sektorze finansowym i kryptowalutowym, wykorzystując zaufanie do legalnych narzędzi, aby ominąć tradycyjne standardy bezpieczeństwa.
Spis treści
Operacja REF6598: Oszustwo za pośrednictwem sieci profesjonalnych
Kampania, oznaczona przez badaczy cyberbezpieczeństwa numerem REF6598, wykorzystuje zaawansowane techniki socjotechniczne za pośrednictwem serwisów LinkedIn i Telegram. Początkowo nawiązywane są kontakty z celami pod pretekstem współpracy z firmą venture capital. Rozmowy są następnie przenoszone do grupowych czatów w Telegramie, w których pojawiają się podszywający się pod „partnerów”, co tworzy przekonującą fasadę autentyczności.
W ramach tych grup dyskusje koncentrują się na usługach finansowych i strategiach płynności kryptowalut, co wzmacnia wiarygodność. Ofiary są ostatecznie instruowane, aby uzyskać dostęp do wspólnego pulpitu nawigacyjnego za pośrednictwem hostowanego w chmurze sejfu Obsidian przy użyciu podanych danych uwierzytelniających.
Ukryty wyzwalacz: Złośliwa aktywacja skarbca
Łańcuch infekcji jest aktywowany, gdy ofiara otwiera współdzielony sejf w Obsidianie. Na tym etapie użytkownik jest proszony o włączenie synchronizacji dla „Zainstalowanych wtyczek społecznościowych”, funkcji domyślnie wyłączonej. Ta ręczna czynność jest krytyczna, ponieważ umożliwia uruchomienie osadzonych złośliwych konfiguracji.
Atakujący wykorzystują legalne wtyczki, w szczególności Shell Commands i Hider, do uruchamiania nieautoryzowanego kodu. Podczas gdy Shell Commands ułatwia wykonywanie kodu, Hider ukrywa elementy interfejsu, takie jak pasek stanu i podpowiedzi, zmniejszając prawdopodobieństwo wykrycia. Atak opiera się wyłącznie na przekonaniu użytkownika do włączenia synchronizacji wtyczek, omijając w ten sposób wbudowane zabezpieczenia.
Unikanie z założenia: życie z legalnych funkcji
Ta kampania wyróżnia się strategicznym nadużywaniem funkcjonalności zaufanych aplikacji, zamiast wykorzystywania luk w zabezpieczeniach oprogramowania. Kluczowe cechy to:
- Złośliwe ładunki są osadzone w plikach konfiguracyjnych JSON, co zmniejsza prawdopodobieństwo ich uruchomienia przez tradycyjne programy antywirusowe
- Wykonywanie odbywa się za pośrednictwem podpisanej aplikacji opartej na elektronach, co komplikuje wykrywanie oparte na procesie nadrzędnym
- Trwałość i wykonywanie poleceń opierają się wyłącznie na legalnych mechanizmach wtyczek w aplikacji
Łańcuch infekcji systemu Windows: od modułu ładującego do tylnego wejścia w pamięci
W systemach Windows atak inicjuje łańcuch wykonawczy oparty na programie PowerShell, który wdraża pośredni moduł ładujący o nazwie PHANTOMPULL. Moduł ten odszyfrowuje i uruchamia moduł PHANTOMPULSE bezpośrednio w pamięci, unikając wykrycia na dysku.
PHANTOMPULSE wykorzystuje technologię Command-and-Control (C2) opartą na blockchainie, wysyłając zapytania do sieci Ethereum. Pobiera ostatnią transakcję powiązaną z zakodowanym na stałe adresem portfela, aby dynamicznie określić jej serwer C2. Komunikacja odbywa się za pośrednictwem WinHTTP, co umożliwia eksfiltrację danych, pobieranie poleceń i raportowanie wykonania.
Szkodliwe oprogramowanie obsługuje szeroki zakres funkcji zdalnego sterowania:
- wstrzyknąć: wstrzykuje kod powłoki, biblioteki DLL lub pliki wykonywalne do procesów
- drop: zapisuje i wykonuje pliki na dysku
- zrzut ekranu: przechwytuje i przesyła dane ekranowe
- keylog: włącza lub wyłącza rejestrowanie naciśnięć klawiszy
- odinstaluj: usuwa mechanizmy trwałości i czyści artefakty
- podnieś: podwyższa uprawnienia do SYSTEMU za pomocą podniesienia uprawnień COM
- obniżenie wersji: obniżenie uprawnień z poziomu SYSTEM do poziomu administratora
Wariant systemu macOS: zaciemnianie i elastyczna infrastruktura C2
Na macOS atak wykorzystuje zaciemniony kod AppleScript dostarczany za pośrednictwem tego samego mechanizmu wtyczki. Skrypt przechodzi przez predefiniowaną listę domen i używa Telegrama jako awaryjnego mechanizmu do wyszukiwania martwych adresów (dead-drop) w celu znalezienia C2. Taka konstrukcja umożliwia szybką rotację infrastruktury, czyniąc tradycyjne strategie blokowania domen nieskutecznymi.
Ostatni etap obejmuje pobranie i wykonanie dodatkowego ładunku za pośrednictwem osascript. Jednak ze względu na nieaktywne serwery C2 w momencie analizy, pełne możliwości tego ładunku pozostają nieokreślone.
Wynik ataku i jego strategiczne implikacje
Zaobserwowane włamanie ostatecznie zakończyło się niepowodzeniem, ponieważ środki obronne wykryły atak i zablokowały go, zanim cele zostały osiągnięte. Niemniej jednak dokument REF6598 wskazuje na znaczącą ewolucję w metodologii działań aktorów zagrożeń.
Wykorzystując zaufane aplikacje i polegając na zmianach konfiguracji wprowadzanych przez użytkowników, atakujący skutecznie omijają konwencjonalne mechanizmy bezpieczeństwa. To podejście uwydatnia rosnący trend: wykorzystywanie legalnych funkcji oprogramowania jako tajnych kanałów wykonywania ataków, co podkreśla potrzebę zwiększonej świadomości użytkowników i monitorowania ich zachowań w cyberzabezpieczeniach.
