Попуст за више лиценци
Тхреат Датабасе Пецање Фантомпулсни пацов

Фантомпулсни пацов

До Mezo. у Пецање, Алати за удаљену администрацију
Преведи на:

Појавила се софистицирана кампања социјалног инжењеринга, која користи Обсидијан као почетни вектор приступа за распоређивање раније недокументованог тројанског коња за даљински приступ систему Windows, познатог као ФАНТОМПУЛС. Кампања је посебно усмерена на појединце који послују у финансијском и криптовалутном сектору, користећи поверење у легитимне алате како би заобишла традиционална безбедносна очекивања.

Операција РЕФ6598: Обмана путем професионалних мрежа

Означена као REF6598 од стране истраживача сајбер безбедности, ова кампања користи напредне технике социјалног инжењеринга путем LinkedIn-а и Telegram-а. Метама се првобитно приступа под изговором сарадње са фирмом ризичног капитала. Разговори се потом пребацују у групне четове на Telegram-у са лажним „партнерима“, стварајући убедљиву фасаду легитимитета.

Унутар ових група, дискусије се врте око финансијских услуга и стратегија ликвидности криптовалута, јачајући кредибилитет. Жртве се на крају упућују да приступе заједничкој контролној табли путем Obsidian трезора који се налази у облаку користећи дате акредитиве.

Скривени окидач: Активација злонамерног трезора

Ланац инфекције се активира када жртва отвори дељени трезор унутар Obsidian-а. У овој фази, кориснику се тражи да омогући синхронизацију за „Инсталиране додатке заједнице“, функцију која је подразумевано онемогућена. Ова ручна мера је кључна, јер омогућава извршавање уграђених злонамерних конфигурација.

Нападачи користе легитимне додатке, посебно Shell Commands и Hider, да би покренули неовлашћени код. Док Shell Commands олакшава извршавање, Hider скрива елементе интерфејса као што су статусна трака и објашњења, смањујући вероватноћу откривања. Напад се у потпуности заснива на убеђивању корисника да омогући синхронизацију додатака, чиме се заобилазе уграђене заштитне мере.

Избегавање по дизајну: Живети од легитимних карактеристика

Ова кампања се истиче по стратешкој злоупотреби функционалности поузданих апликација, уместо искоришћавања софтверских рањивости. Кључне карактеристике укључују:

  • Злонамерни корисни терет је уграђен у JSON конфигурационе датотеке, што смањује вероватноћу да ће покренути традиционалну антивирусну детекцију.
  • Извршавање се врши путем потписане апликације засноване на Electron-у, што компликује детекцију засновану на родитељском процесу.
  • Упорност и извршавање команди се у потпуности ослањају на легитимне механизме додатака унутар апликације

Ланац инфекције у систему Windows: од програма за учитавање до резидентног задњег врата у меморији

На Windows системима, напад покреће ланац извршавања заснован на PowerShell-у који распоређује средњи програм за учитавање под називом PHANTOMPULL. Овај програм за учитавање дешифрује и покреће PHANTOMPULSE директно у меморији, избегавајући детекцију на диску.

PHANTOMPULSE укључује решавање команде и контроле (C2) засновано на блокчејну упитом Ethereum мрежи. Преузима најновију трансакцију повезану са чврсто кодираном адресом новчаника како би динамички одредио свој C2 сервер. Комуникација се одвија путем WinHTTP-а, омогућавајући извлачење података, преузимање команди и извештавање о извршењу.

Злонамерни софтвер подржава широк скуп могућности даљинског управљања:

  • убризгавање: убризгава шелкод, DLL-ове или извршне датотеке у процесе
  • дроп: пише и извршава датотеке на диску
  • снимак екрана: снима и отпрема податке са екрана
  • keylog: омогућава или онемогућава евидентирање притисака тастера
  • деинсталација: уклања механизме перзистентности и чисти артефакте
  • elevate: ескалира привилегије на SYSTEM користећи COM elevation
  • надоградња: смањује привилегије са системског на администраторски ниво

macOS варијанта: Замагљивање и флексибилна C2 инфраструктура

На macOS-у, напад користи замаскирани AppleScript који се испоручује кроз исти механизам додатка. Скрипта циклично пролази кроз унапред дефинисану листу домена и користи Telegram као резервни резолутор за откривање C2. Овај дизајн омогућава брзу ротацију инфраструктуре, чинећи традиционалне стратегије блокирања домена неефикасним.

Завршна фаза укључује преузимање и извршавање секундарног корисног терета путем osascript-а. Међутим, због неактивних C2 сервера у време анализе, пуне могућности овог корисног терета остају неодређене.

Исход напада и стратешке импликације

Уочени упад је на крају био неуспешан, јер су одбрамбене мере откриле и блокирале напад пре него што су циљеви постигнути. Ипак, REF6598 истиче значајну еволуцију у методологији претњи.

Искоришћавањем поузданих апликација и ослањањем на промене конфигурације које покрећу корисници, противници ефикасно заобилазе конвенционалне безбедносне контроле. Овај приступ наглашава растући тренд: претварање легитимних софтверских функција у тајне канале за извршавање, наглашавајући потребу за повећаном свесношћу корисника и праћењем понашања у одбрани од сајбер безбедности.

У тренду

Mightytechy.com

Рогуе Вебситес, Отмичари претраживача, Потенцијално нежељени програми
Заштита уређаја од наметљивих и непоузданих апликација је кључни део одржавања дигиталне безбедности. Потенцијално нежељени програми (ПУП), посебно они повезани са отмичарима прегледача, могу...

Превара „Pushpaganda“ вођена вештачком интелигенцијом

Спам
Истраживачи сајбер безбедности открили су софистицирану кампању преваре огласима, под кодним називом Pushpaganda, која комбинује тровање оптимизацијом за претраживаче (SEO) са садржајем генерисаним вештачком интелигенцијом. Ова операција је осмишљена да манипулише платформама за откривање садржаја, посебно Google Discover-ом, промовишући обмањујуће вести које делују легитимно. Крајњи циљ је да...

Најгледанији

Учитавање...