PHANTOMPULS RAT

Objavila sa sofistikovaná kampaň sociálneho inžinierstva, ktorá využíva Obsidian ako počiatočný prístupový vektor na nasadenie predtým nezdokumentovaného trójskeho koňa pre vzdialený prístup k systému Windows známeho ako PHANTOMPULSE. Kampaň sa zameriava najmä na jednotlivcov pôsobiacich vo finančnom sektore a sektore kryptomien a využíva dôveru v legitímne nástroje na obchádzanie tradičných bezpečnostných očakávaní.

Operácia REF6598: Podvod prostredníctvom profesionálnych sietí

Táto kampaň, ktorú výskumníci v oblasti kybernetickej bezpečnosti označili ako REF6598, využíva pokročilé techniky sociálneho inžinierstva prostredníctvom LinkedIn a Telegramu. Ciele sú spočiatku oslovované pod zámienkou spolupráce s firmou rizikového kapitálu. Konverzácie sa následne presúvajú do skupinových chatov v Telegrame, v ktorých sa zúčastňujú imitujúci „partneri“, čím sa vytvára presvedčivá fasáda legitimity.

V rámci týchto skupín sa diskusie točia okolo finančných služieb a stratégií likvidity kryptomien, čím sa posilňuje dôveryhodnosť. Obeťam sa nakoniec povie, aby sa prostredníctvom cloudového trezoru Obsidian pomocou poskytnutých prihlasovacích údajov prihlásili k zdieľanému ovládaciemu panelu.

Skrytý spúšťač: Aktivácia škodlivého trezoru

Reťazec infekcie sa aktivuje, keď obeť otvorí zdieľaný trezor v aplikácii Obsidian. V tejto fáze je používateľ vyzvaný na povolenie synchronizácie pre „Nainštalované doplnky komunity“, čo je funkcia, ktorá je predvolene zakázaná. Tento manuálny zásah je kritický, pretože umožňuje spustenie vložených škodlivých konfigurácií.

Útočníci zneužívajú legitímne pluginy, konkrétne Shell Commands a Hider, na spustenie neoprávneného kódu. Zatiaľ čo Shell Commands uľahčuje vykonávanie, Hider skrýva prvky rozhrania, ako je stavový riadok a popisky, čím znižuje pravdepodobnosť odhalenia. Útok sa výlučne zameriava na presvedčenie používateľa, aby povolil synchronizáciu pluginov, čím obchádza vstavané bezpečnostné opatrenia.

Únik podľa zámeru: Život z legitímnych funkcií

Táto kampaň vyniká strategickým zneužívaním funkcií dôveryhodných aplikácií namiesto využívania zraniteľností softvéru. Medzi kľúčové charakteristiky patria:

• Škodlivé dáta sú vložené do konfiguračných súborov JSON, vďaka čomu je menej pravdepodobné, že spustia tradičnú antivírusovú detekciu.
• Vykonávanie sa vykonáva prostredníctvom podpísanej aplikácie založenej na Electrone, čo komplikuje detekciu založenú na rodičovských procesoch.
• Perzistencia a vykonávanie príkazov sa úplne spoliehajú na legitímne mechanizmy doplnkov v rámci aplikácie.

Reťazec infekcie systému Windows: od zavádzača k pamäťovo rezidentným zadným vrátkam

V systémoch Windows útok iniciuje reťazec vykonávania založený na PowerShelle, ktorý nasadí medziľahlý zavádzač s názvom PHANTOMPULL. Tento zavádzač dešifruje a spúšťa PHANTOMPULSE priamo v pamäti, čím sa vyhýba detekcii na disku.

PHANTOMPULSE využíva technológiu Command-and-Control (C2) na báze blockchainu, ktorá vyhľadáva informácie v sieti Ethereum. Načítava najnovšiu transakciu prepojenú s pevne zakódovanou adresou peňaženky, aby dynamicky určila svoj C2 server. Komunikácia prebieha cez WinHTTP, čo umožňuje exfiltráciu údajov, načítanie príkazov a hlásenie ich vykonania.

Malvér podporuje širokú škálu funkcií diaľkového ovládania:

• inject: vloží shellcode, DLL alebo spustiteľné súbory do procesov
• drop: zapisuje a spúšťa súbory na disku
• snímka obrazovky: zachytáva a nahráva údaje z obrazovky
• keylog: povoľuje alebo zakazuje zaznamenávanie stlačení klávesov
• odinštalovanie: odstráni mechanizmy perzistencie a vyčistí artefakty
• elevate: zvyšuje privilégiá na SYSTEM pomocou elevácie COM
• zníženie úrovne: znižuje oprávnenia zo SYSTÉMOVEJ na úroveň správcu

Variant macOS: Zmätok a flexibilná infraštruktúra C2

V systéme macOS útok využíva obfuskovaný AppleScript poskytovaný prostredníctvom rovnakého mechanizmu pluginu. Skript cyklicky prechádza preddefinovaným zoznamom domén a používa Telegram ako záložný dead-drop resolver pre objavovanie C2. Tento dizajn umožňuje rýchlu rotáciu infraštruktúry, čím sa tradičné stratégie blokovania domén stávajú neúčinnými.

Záverečná fáza zahŕňa načítanie a spustenie sekundárneho užitočného zaťaženia prostredníctvom osascriptu. Avšak kvôli neaktívnym serverom C2 v čase analýzy zostávajú plné možnosti tohto užitočného zaťaženia neurčené.

Výsledok útoku a strategické dôsledky

Pozorovaný útok bol nakoniec neúspešný, pretože obranné opatrenia útok odhalili a zablokovali skôr, ako boli dosiahnuté ciele. Napriek tomu dokument REF6598 zdôrazňuje významný vývoj v metodike aktérov hrozieb.

Využívaním dôveryhodných aplikácií a spoliehaním sa na zmeny konfigurácie riadené používateľom útočníci efektívne obchádzajú konvenčné bezpečnostné kontroly. Tento prístup podčiarkuje rastúci trend: zneužívanie legitímnych softvérových funkcií ako skrytých kanálov na vykonávanie útokov, čo zdôrazňuje potrebu zvýšeného povedomia používateľov a monitorovania správania v rámci kybernetickej obrany.