Rabattoffert för flera licenser
Hotdatabas Nätfiske FANTOMPULS-RÅTTA

FANTOMPULS-RÅTTA

Med Mezo år Nätfiske, Fjärradministrationsverktyg
Översätt till:

En sofistikerad social ingenjörskonstkampanj har uppstått och utnyttjar Obsidian som en initial åtkomstvektor för att distribuera en tidigare odokumenterad Windows-fjärråtkomsttrojan som kallas PHANTOMPULSE. Kampanjen riktar sig specifikt till individer som arbetar inom finans- och kryptovalutasektorerna och utnyttjar förtroendet för legitima verktyg för att kringgå traditionella säkerhetsförväntningar.

Operation REF6598: Bedrägeri genom professionella nätverk

Denna kampanj, som betecknats som REF6598 av cybersäkerhetsforskare, använder avancerade sociala ingenjörskonsttekniker via LinkedIn och Telegram. Målen kontaktas initialt under förevändning att de samarbetar med ett riskkapitalföretag. Konversationerna övergår sedan till Telegram-gruppchattar fyllda med utgivna "partners", vilket skapar en övertygande fasad av legitimitet.

Inom dessa grupper kretsar diskussionerna kring finansiella tjänster och strategier för kryptovalutalikviditet, vilket stärker trovärdigheten. Offren instrueras slutligen att få åtkomst till en delad instrumentpanel via ett molnbaserat Obsidian-valv med hjälp av angivna inloggningsuppgifter.

Den dolda utlösaren: Aktivering av skadlig valv

Infektionskedjan aktiveras när offret öppnar det delade valvet i Obsidian. I det här skedet uppmanas användaren att aktivera synkronisering för "Installerade community-plugins", en funktion som är inaktiverad som standard. Denna manuella åtgärd är avgörande eftersom den tillåter inbäddade skadliga konfigurationer att köras.

Angripare utnyttjar legitima plugin-program, särskilt Shell Commands och Hider, för att köra obehörig kod. Medan Shell Commands underlättar exekvering, döljer Hider gränssnittselement som statusfältet och verktygstips, vilket minskar sannolikheten för upptäckt. Attacken bygger helt på att övertyga användaren att aktivera plugin-synkronisering och därigenom kringgå inbyggda skyddsåtgärder.

Undvikande genom design: Att leva på legitima funktioner

Denna kampanj utmärker sig genom sitt strategiska missbruk av betrodda applikationers funktionalitet snarare än att utnyttja programvarusårbarheter. Viktiga egenskaper inkluderar:

  • Skadliga nyttolaster är inbäddade i JSON-konfigurationsfiler, vilket gör det mindre troligt att de utlöser traditionell antivirusdetektering.
  • Exekveringen utförs via en signerad elektronbaserad applikation, vilket komplicerar detektion baserad på föräldraprocesser.
  • Persistens och kommandokörning är helt beroende av legitima plugin-mekanismer i applikationen.

Windows-infektionskedja: Från laddare till minnesresident bakdörr

På Windows-system initierar attacken en PowerShell-baserad exekveringskedja som distribuerar en mellanliggande laddare med namnet PHANTOMPULL. Denna laddare dekrypterar och startar PHANTOMPULSE direkt i minnet, vilket undviker diskbaserad detektering.

PHANTOMPULSE använder blockkedjebaserad kommando-och-kontroll (C2)-lösning genom att fråga Ethereum-nätverket. Den hämtar den senaste transaktionen länkad till en hårdkodad plånboksadress för att dynamiskt bestämma dess C2-server. Kommunikation sker via WinHTTP, vilket möjliggör dataexfiltrering, kommandohämtning och körningsrapportering.

Skadlig programvara stöder en bred uppsättning fjärrstyrningsfunktioner:

  • injicera: injicerar skalkod, DLL-filer eller körbara filer i processer
  • drop: skriver och kör filer på disk
  • skärmdump: tar bilder och laddar upp skärmdata
  • tangentlogg: aktiverar eller inaktiverar tangentloggning
  • avinstallera: tar bort persistensmekanismer och rensar artefakter
  • höj: eskalerar privilegier till SYSTEM med hjälp av COM-höjning
  • nedgradering: minskar behörigheter från SYSTEM- till administratörsnivå

macOS-variant: Obfuskation och flexibel C2-infrastruktur

På macOS utnyttjar attacken ett obfuskerat AppleScript som levereras via samma plugin-mekanism. Skriptet går igenom en fördefinierad lista med domäner och använder Telegram som en reservlösning för dead-drop-lösningar för C2-identifiering. Denna design möjliggör snabb rotation av infrastruktur, vilket gör traditionella domänblockeringsstrategier ineffektiva.

Det sista steget innebär att hämta och exekvera en sekundär nyttolast via osascript. På grund av inaktiva C2-servrar vid tidpunkten för analysen är dock nyttolastens fulla kapacitet fortfarande obestämd.

Attackresultat och strategiska konsekvenser

Det observerade intrånget misslyckades slutligen, eftersom defensiva åtgärder upptäckte och blockerade attacken innan målen uppnåddes. REF6598 belyser dock en betydande utveckling i hotaktörernas metodik.

Genom att utnyttja betrodda applikationer och förlita sig på användarstyrda konfigurationsändringar kringgår motståndare effektivt konventionella säkerhetskontroller. Denna metod understryker en växande trend: beväpning av legitima programvarufunktioner som hemliga exekveringskanaler, vilket betonar behovet av ökad användarmedvetenhet och beteendeövervakning i cybersäkerhetsförsvar.

Trendigt

Mest sedda

Läser in...