Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Fishing PHANTOMPULSE RAT

PHANTOMPULSE RAT

Nga MezoFishing, Mjetet e administrimit në distancë
Përkthe në:

Një fushatë e sofistikuar e inxhinierisë sociale është shfaqur, duke shfrytëzuar Obsidian si një vektor fillestar aksesi për të vendosur një trojan të qasjes në distancë të Windows, i cili më parë nuk ishte dokumentuar, i njohur si PHANTOMPULSE. Fushata synon konkretisht individët që veprojnë brenda sektorëve financiarë dhe të kriptomonedhave, duke shfrytëzuar besimin në mjete legjitime për të anashkaluar pritjet tradicionale të sigurisë.

Operacioni REF6598: Mashtrim nëpërmjet rrjeteve profesionale

E përcaktuar si REF6598 nga studiuesit e sigurisë kibernetike, kjo fushatë përdor teknika të avancuara të inxhinierisë sociale nëpërmjet LinkedIn dhe Telegram. Fillimisht, objektivat kontaktohen nën pretekstin e bashkëpunimit me një firmë kapitali sipërmarrës. Bisedat më pas kalojnë në biseda në grup në Telegram të populluara me 'partnerë' të imituar, duke krijuar një fasadë bindëse legjitimiteti.

Brenda këtyre grupeve, diskutimet sillen rreth shërbimeve financiare dhe strategjive të likuiditetit të kriptomonedhave, duke përforcuar besueshmërinë. Viktimat në fund udhëzohen të hyjnë në një panel të përbashkët përmes një kasaforte Obsidian të hostuar në cloud duke përdorur kredencialet e dhëna.

Shkaktari i Fshehur: Aktivizimi i Kasafortës së Dëmshme

Zinxhiri i infeksionit aktivizohet kur viktima hap kasafortën e përbashkët brenda Obsidian. Në këtë fazë, përdoruesit i kërkohet të aktivizojë sinkronizimin për 'Shtojcat e komunitetit të instaluara', një veçori e çaktivizuar si parazgjedhje. Ky veprim manual është kritik, pasi lejon që konfigurimet e ngulitura keqdashëse të ekzekutohen.

Sulmuesit shfrytëzojnë shtojcat legjitime, konkretisht Shell Commands dhe Hider, për të ekzekutuar kod të paautorizuar. Ndërsa Shell Commands lehtëson ekzekutimin, Hider fsheh elementët e ndërfaqes si shiritin e statusit dhe këshillat e mjeteve, duke zvogëluar mundësinë e zbulimit. Sulmi varet tërësisht nga bindja e përdoruesit për të aktivizuar sinkronizimin e shtojcave, duke anashkaluar kështu mbrojtjet e integruara.

Shmangie me qëllim: Të jetosh me karakteristika legjitime

Kjo fushatë dallohet për abuzimin strategjik të funksionalitetit të aplikacioneve të besuara në vend të shfrytëzimit të dobësive të softuerit. Karakteristikat kryesore përfshijnë:

  • Ngarkesat keqdashëse janë të integruara brenda skedarëve të konfigurimit JSON, duke i bërë ato më pak të prirura të shkaktojnë zbulimin tradicional të antivirusëve.
  • Ekzekutimi kryhet përmes një aplikacioni të bazuar në Electron të nënshkruar, duke e komplikuar zbulimin e bazuar në procese prindërore.
  • Qëndrueshmëria dhe ekzekutimi i komandave mbështeten tërësisht në mekanizmat legjitimë të plugin-eve brenda aplikacionit.

Zinxhiri i Infeksionit të Windows: Nga Ngarkuesi te Dera e Prapavijës Rezidenciale e Memories

Në sistemet Windows, sulmi fillon një zinxhir ekzekutimi të bazuar në PowerShell që vendos një ngarkues të ndërmjetëm të quajtur PHANTOMPULL. Ky ngarkues deshifron dhe nis PHANTOMPULSE direkt në memorie, duke shmangur zbulimin e bazuar në disk.

PHANTOMPULSE përfshin zgjidhjen e Command-and-Control (C2) të bazuar në blockchain duke pyetur rrjetin Ethereum. Ai merr transaksionin më të fundit të lidhur me një adresë portofoli të koduar në mënyrë dinamike për të përcaktuar në mënyrë dinamike serverin e tij C2. Komunikimi kryhet nëpërmjet WinHTTP, duke mundësuar nxjerrjen e të dhënave, marrjen e komandave dhe raportimin e ekzekutimit.

Malware mbështet një gamë të gjerë aftësish për kontroll të largët:

  • inject: injekton shellcode, DLL ose ekzekutues në procese
  • drop: shkruan dhe ekzekuton skedarë në disk
  • pamje e ekranit: kap dhe ngarkon të dhënat e ekranit
  • keylog: aktivizon ose çaktivizon regjistrimin e shtypjes së tastierës
  • çinstaloni: heq mekanizmat e këmbënguljes dhe pastron artefaktet
  • ngrit: përshkallëzon privilegjet në SYSTEM duke përdorur ngritjen COM
  • ulje: zvogëlon privilegjet nga SISTEMI në nivelin e administratorit

Varianti macOS: Mbështjellje dhe Infrastrukturë Fleksibile C2

Në macOS, sulmi shfrytëzon një AppleScript të turbullt të ofruar përmes të njëjtit mekanizëm plugin-i. Skripti kalon nëpër një listë të paracaktuar domenesh dhe përdor Telegram si një zgjidhës rezervë për zbulimin C2. Ky dizajn mundëson rrotullim të shpejtë të infrastrukturës, duke i bërë strategjitë tradicionale të bllokimit të domeneve joefektive.

Faza përfundimtare përfshin marrjen dhe ekzekutimin e një ngarkese dytësore nëpërmjet osascript. Megjithatë, për shkak të serverave C2 joaktivë në kohën e analizës, aftësitë e plota të kësaj ngarkese mbeten të papërcaktuara.

Rezultati i Sulmit dhe Implikimet Strategjike

Ndërhyrja e vëzhguar në fund të fundit ishte e pasuksesshme, pasi masat mbrojtëse zbuluan dhe bllokuan sulmin përpara se të arriheshin objektivat. Megjithatë, REF6598 nxjerr në pah një evolucion të rëndësishëm në metodologjinë e aktorëve kërcënues.

Duke shfrytëzuar aplikacionet e besuara dhe duke u mbështetur në ndryshimet e konfigurimit të drejtuara nga përdoruesi, kundërshtarët anashkalojnë në mënyrë efektive kontrollet konvencionale të sigurisë. Kjo qasje nënvizon një trend në rritje: shfrytëzimin e veçorive legjitime të softuerëve si kanale të fshehta ekzekutimi, duke theksuar nevojën për ndërgjegjësim më të lartë të përdoruesit dhe monitorim të sjelljes në mbrojtjet e sigurisë kibernetike.

Në trend

Më e shikuara

Po ngarkohet...