ФАНТОМПУЛЬСНАЯ КРЫСА
Появилась изощренная кампания социальной инженерии, использующая Obsidian в качестве первоначального вектора доступа для развертывания ранее недокументированного трояна удаленного доступа для Windows, известного как PHANTOMPULSE. Кампания нацелена на лиц, работающих в финансовом секторе и сфере криптовалют, используя доверие к легитимным инструментам для обхода традиционных требований безопасности.
Оглавление
Операция REF6598: Обман через профессиональные сети.
Эта кампания, обозначенная исследователями кибербезопасности как REF6598, использует передовые методы социальной инженерии через LinkedIn и Telegram. Первоначально к жертвам обращаются под предлогом сотрудничества с венчурной компанией. Затем перенаправляются в групповые чаты Telegram, где участвуют подставные «партнеры», создавая убедительный фасад легитимности.
В этих группах обсуждения вращаются вокруг финансовых услуг и стратегий обеспечения ликвидности криптовалют, что укрепляет доверие. В конечном итоге жертвам предлагается получить доступ к общей панели управления через облачное хранилище Obsidian, используя предоставленные учетные данные.
Скрытый триггер: активация вредоносного хранилища
Цепочка заражения активируется, когда жертва открывает общее хранилище в Obsidian. На этом этапе пользователю предлагается включить синхронизацию для «Установленных плагинов сообщества», функция, отключенная по умолчанию. Это действие, выполняемое вручную, имеет решающее значение, поскольку оно позволяет выполняться встроенным вредоносным конфигурациям.
Злоумышленники используют легитимные плагины, в частности Shell Commands и Hider, для выполнения несанкционированного кода. Shell Commands облегчает выполнение, а Hider скрывает элементы интерфейса, такие как строка состояния и всплывающие подсказки, снижая вероятность обнаружения. Атака полностью основана на убеждении пользователя включить синхронизацию плагинов, тем самым обходя встроенные средства защиты.
Уклонение от ответственности по замыслу: жизнь за счёт законных преимуществ
Данная кампания выделяется стратегическим злоупотреблением функционалом доверенных приложений, а не использованием уязвимостей программного обеспечения. Ключевые характеристики включают:
- Вредоносные программы внедряются в конфигурационные файлы JSON, что снижает вероятность их срабатывания при обнаружении традиционными антивирусными программами.
- Выполнение осуществляется через подписанное приложение на основе Electron, что усложняет обнаружение на основе родительского процесса.
- Сохранение данных и выполнение команд полностью зависят от легитимных механизмов плагинов внутри приложения.
Цепочка заражения Windows: от загрузчика до бэкдора, находящегося в оперативной памяти.
В системах Windows атака запускает цепочку выполнения на основе PowerShell, которая развертывает промежуточный загрузчик с именем PHANTOMPULL. Этот загрузчик расшифровывает и запускает PHANTOMPULSE непосредственно в памяти, избегая обнаружения на диске.
PHANTOMPULSE использует технологию управления и контроля (C2) на основе блокчейна, запрашивая данные из сети Ethereum. Система получает последнюю транзакцию, связанную с жестко закодированным адресом кошелька, для динамического определения своего C2-сервера. Связь осуществляется через WinHTTP, что позволяет осуществлять утечку данных, получать команды и формировать отчеты о выполнении.
Вредоносная программа поддерживает широкий набор возможностей удаленного управления:
- inject: внедряет шеллкод, DLL-библиотеки или исполняемые файлы в процессы.
- drop: записывает и выполняет файлы на диске.
- скриншот: делает снимок экрана и загружает данные экрана.
- keylog: включает или отключает запись нажатий клавиш.
- Удаление: удаляет механизмы сохранения данных и очищает артефакты.
- elevate: повышает привилегии до уровня SYSTEM с помощью функции повышения привилегий COM.
- понижение уровня привилегий: понижение прав с уровня SYSTEM до уровня администратора.
Вариант macOS: обфускация и гибкая инфраструктура управления и контроля.
В macOS атака использует обфусцированный AppleScript, распространяемый через тот же механизм плагинов. Скрипт перебирает предопределенный список доменов и использует Telegram в качестве резервного средства обнаружения серверов управления и контроля (C2). Такая конструкция позволяет быстро менять инфраструктуру, делая традиционные стратегии блокировки доменов неэффективными.
На заключительном этапе осуществляется извлечение и выполнение вторичной полезной нагрузки с помощью osascript. Однако из-за неактивности серверов управления и контроля на момент анализа полные возможности этой полезной нагрузки остаются неопределенными.
Результаты атаки и стратегические последствия
Наблюдаемое вторжение в конечном итоге оказалось безуспешным, поскольку защитные меры обнаружили и заблокировали атаку до достижения поставленных целей. Тем не менее, REF6598 подчеркивает значительную эволюцию в методологии действий злоумышленников.
Используя уязвимости доверенных приложений и полагаясь на изменения конфигурации, вносимые пользователями, злоумышленники эффективно обходят традиционные средства защиты. Такой подход подчеркивает растущую тенденцию: превращение легитимных функций программного обеспечения в скрытые каналы выполнения, что подчеркивает необходимость повышения осведомленности пользователей и мониторинга их поведения в системах кибербезопасности.
