ఫాంటమ్పల్స్ ఎలుక
ఫాంటమ్పల్స్ అని పిలువబడే, ఇంతకుముందు నమోదుకాని విండోస్ రిమోట్ యాక్సెస్ ట్రోజన్ను ప్రయోగించడానికి, ఆబ్సిడియన్ను ఒక ప్రాథమిక యాక్సెస్ వెక్టర్గా ఉపయోగించుకుంటూ, ఒక అధునాతన సోషల్ ఇంజనీరింగ్ ప్రచారం వెలుగులోకి వచ్చింది. ఈ ప్రచారం ప్రత్యేకంగా ఆర్థిక మరియు క్రిప్టోకరెన్సీ రంగాలలో పనిచేస్తున్న వ్యక్తులను లక్ష్యంగా చేసుకుని, సాంప్రదాయ భద్రతా అంచనాలను అధిగమించడానికి చట్టబద్ధమైన సాధనాలపై ఉన్న నమ్మకాన్ని ఉపయోగించుకుంటోంది.
విషయ సూచిక
ఆపరేషన్ REF6598: వృత్తిపరమైన నెట్వర్క్ల ద్వారా మోసం
సైబర్ సెక్యూరిటీ పరిశోధకులు REF6598గా గుర్తించిన ఈ ప్రచారం, లింక్డ్ఇన్ మరియు టెలిగ్రామ్ ద్వారా అధునాతన సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగిస్తుంది. ప్రారంభంలో, ఒక వెంచర్ క్యాపిటల్ సంస్థతో కలిసి పనిచేస్తున్నామనే నెపంతో లక్ష్యాలను సంప్రదిస్తారు. ఆ తర్వాత, నకిలీ 'భాగస్వాములు' ఉన్న టెలిగ్రామ్ గ్రూప్ చాట్లకు సంభాషణలను మళ్లిస్తారు, తద్వారా అది నిజమైనదనే నమ్మశక్యమైన ముసుగును సృష్టిస్తారు.
ఈ గ్రూపులలో, విశ్వసనీయతను బలోపేతం చేస్తూ, ఆర్థిక సేవలు మరియు క్రిప్టోకరెన్సీ లిక్విడిటీ వ్యూహాల చుట్టూ చర్చలు జరుగుతాయి. బాధితులకు అందించిన ఆధారాలను ఉపయోగించి, క్లౌడ్లో హోస్ట్ చేయబడిన ఒబ్సిడియన్ వాల్ట్ ద్వారా ఒక ఉమ్మడి డాష్బోర్డ్ను యాక్సెస్ చేయమని చివరిగా సూచించబడుతుంది.
దాగి ఉన్న ట్రిగ్గర్: హానికరమైన వాల్ట్ యాక్టివేషన్
బాధితుడు ఒబ్సిడియన్లోని షేర్డ్ వాల్ట్ను తెరిచినప్పుడు ఇన్ఫెక్షన్ గొలుసు సక్రియం అవుతుంది. ఈ దశలో, డిఫాల్ట్గా నిలిపివేయబడిన ఫీచర్ అయిన 'ఇన్స్టాల్ చేయబడిన కమ్యూనిటీ ప్లగిన్ల' కోసం సమకాలీకరణను ప్రారంభించమని వినియోగదారుని అడుగుతుంది. ఈ మాన్యువల్ చర్య చాలా కీలకం, ఎందుకంటే ఇది పొందుపరిచిన హానికరమైన కాన్ఫిగరేషన్లను అమలు చేయడానికి అనుమతిస్తుంది.
దాడి చేసేవారు అనధికారిక కోడ్ను అమలు చేయడానికి, చట్టబద్ధమైన ప్లగిన్లను, ప్రత్యేకంగా షెల్ కమాండ్స్ మరియు హైడర్ను ఉపయోగించుకుంటారు. షెల్ కమాండ్స్ అమలును సులభతరం చేస్తుండగా, హైడర్ స్టేటస్ బార్ మరియు టూల్టిప్స్ వంటి ఇంటర్ఫేస్ అంశాలను దాచిపెట్టి, దాడిని గుర్తించే అవకాశాన్ని తగ్గిస్తుంది. ఈ దాడి పూర్తిగా వినియోగదారుని ప్లగిన్ సింక్రొనైజేషన్ను ఎనేబుల్ చేసేలా ఒప్పించడంపై ఆధారపడి ఉంటుంది, తద్వారా అంతర్నిర్మిత భద్రతా చర్యలను అధిగమించవచ్చు.
రూపకల్పన ద్వారా తప్పించుకోవడం: చట్టబద్ధమైన ఫీచర్లతో జీవించడం
ఈ ప్రచారం సాఫ్ట్వేర్ బలహీనతలను ఉపయోగించుకోవడం కంటే, విశ్వసనీయమైన అప్లికేషన్ కార్యాచరణను వ్యూహాత్మకంగా దుర్వినియోగం చేయడంలో ప్రత్యేకంగా నిలుస్తుంది. ముఖ్య లక్షణాలు:
- హానికరమైన పేలోడ్లు JSON కాన్ఫిగరేషన్ ఫైల్లలో పొందుపరచబడి ఉంటాయి, అందువల్ల అవి సాంప్రదాయ యాంటీవైరస్ గుర్తింపును ప్రేరేపించే అవకాశం తక్కువగా ఉంటుంది.
- సంతకం చేయబడిన ఎలక్ట్రాన్-ఆధారిత అప్లికేషన్ ద్వారా అమలు జరుగుతుంది, ఇది పేరెంట్-ప్రాసెస్-ఆధారిత గుర్తింపును క్లిష్టతరం చేస్తుంది.
- నిలకడ మరియు కమాండ్ అమలు పూర్తిగా అప్లికేషన్లోని చట్టబద్ధమైన ప్లగిన్ యంత్రాంగాలపై ఆధారపడి ఉంటాయి.
విండోస్ ఇన్ఫెక్షన్ చైన్: లోడర్ నుండి మెమరీ-రెసిడెంట్ బ్యాక్డోర్ వరకు
విండోస్ సిస్టమ్లలో, ఈ దాడి పవర్షెల్ ఆధారిత ఎగ్జిక్యూషన్ చైన్ను ప్రారంభిస్తుంది, ఇది ఫాంటమ్పుల్ అనే మధ్యంతర లోడర్ను మోహరిస్తుంది. ఈ లోడర్ ఫాంటమ్పల్స్ను డీక్రిప్ట్ చేసి, నేరుగా మెమరీలో ప్రారంభిస్తుంది, తద్వారా డిస్క్ ఆధారిత గుర్తింపును నివారిస్తుంది.
ఫాంటమ్పల్స్, ఇథీరియం నెట్వర్క్ను ప్రశ్నించడం ద్వారా బ్లాక్చెయిన్ ఆధారిత కమాండ్-అండ్-కంట్రోల్ (C2) రిజల్యూషన్ను పొందుపరుస్తుంది. ఇది హార్డ్-కోడెడ్ వాలెట్ చిరునామాకు అనుసంధానించబడిన తాజా లావాదేవీని తిరిగి పొంది, దాని C2 సర్వర్ను డైనమిక్గా నిర్ధారిస్తుంది. కమ్యూనికేషన్ WinHTTP ద్వారా నిర్వహించబడుతుంది, ఇది డేటా ఎక్స్ఫిల్ట్రేషన్, కమాండ్ రిట్రీవల్ మరియు ఎగ్జిక్యూషన్ రిపోర్టింగ్ను సాధ్యం చేస్తుంది.
ఈ మాల్వేర్ విస్తృత శ్రేణి రిమోట్ కంట్రోల్ సామర్థ్యాలకు మద్దతు ఇస్తుంది:
- ఇంజెక్ట్: ప్రాసెస్లలోకి షెల్కోడ్, DLLలు లేదా ఎగ్జిక్యూటబుల్స్ను ఇంజెక్ట్ చేస్తుంది
- డ్రాప్: డిస్క్పై ఫైళ్లను రాసి, అమలు చేస్తుంది
- స్క్రీన్షాట్: స్క్రీన్ డేటాను సంగ్రహించి అప్లోడ్ చేస్తుంది
- కీలాగ్: కీస్ట్రోక్ లాగింగ్ను ఎనేబుల్ లేదా డిసేబుల్ చేస్తుంది
- అన్ఇన్స్టాల్: నిలకడ యంత్రాంగాలను తొలగిస్తుంది మరియు ఆర్టిఫ్యాక్ట్లను శుభ్రపరుస్తుంది
- elevate: COM ఎలివేషన్ను ఉపయోగించి అధికారాలను SYSTEMకు పెంచుతుంది
- డౌన్గ్రేడ్: అధికారాలను SYSTEM స్థాయి నుండి నిర్వాహక స్థాయికి తగ్గిస్తుంది.
macOS వేరియంట్: అస్పష్టం మరియు ఫ్లెక్సిబుల్ C2 ఇన్ఫ్రాస్ట్రక్చర్
macOSలో, ఈ దాడి అదే ప్లగిన్ మెకానిజం ద్వారా అందించబడిన, అస్పష్టంగా మార్చబడిన AppleScriptను ఉపయోగించుకుంటుంది. ఈ స్క్రిప్ట్ ముందుగా నిర్వచించిన డొమైన్ల జాబితా ద్వారా తిరుగుతూ, C2 డిస్కవరీ కోసం టెలిగ్రామ్ను ఫాల్బ్యాక్ డెడ్-డ్రాప్ రిజాల్వర్గా ఉపయోగిస్తుంది. ఈ రూపకల్పన ఇన్ఫ్రాస్ట్రక్చర్ను వేగంగా మార్చడానికి వీలు కల్పిస్తుంది, తద్వారా సాంప్రదాయ డొమైన్-బ్లాకింగ్ వ్యూహాలను ప్రభావహీనంగా చేస్తుంది.
చివరి దశలో, ఓసాస్క్రిప్ట్ ద్వారా ఒక ద్వితీయ పేలోడ్ను తిరిగి పొంది, అమలు చేయడం జరుగుతుంది. అయితే, విశ్లేషణ సమయంలో C2 సర్వర్లు నిష్క్రియంగా ఉండటం వలన, ఈ పేలోడ్ యొక్క పూర్తి సామర్థ్యాలు ఇంకా నిర్ధారించబడలేదు.
దాడి ఫలితం మరియు వ్యూహాత్మక పరిణామాలు
లక్ష్యాలు నెరవేరక ముందే రక్షణ చర్యలు దాడిని గుర్తించి అడ్డుకోవడంతో, గమనించిన చొరబాటు చివరికి విఫలమైంది. అయినప్పటికీ, REF6598 ముప్పు కలిగించే వారి పద్ధతిలో ఒక ముఖ్యమైన పరిణామాన్ని హైలైట్ చేస్తుంది.
విశ్వసనీయమైన అప్లికేషన్లను దుర్వినియోగం చేయడం మరియు వినియోగదారు-ఆధారిత కాన్ఫిగరేషన్ మార్పులపై ఆధారపడటం ద్వారా, విరోధులు సాంప్రదాయ భద్రతా నియంత్రణలను సమర్థవంతంగా అధిగమిస్తారు. ఈ విధానం, చట్టబద్ధమైన సాఫ్ట్వేర్ ఫీచర్లను రహస్య అమలు మార్గాలుగా ఆయుధాలుగా మార్చే ఒక పెరుగుతున్న ధోరణిని నొక్కి చెబుతోంది. ఇది సైబర్సెక్యూరిటీ రక్షణలలో వినియోగదారుల అవగాహనను పెంచడం మరియు వారి ప్రవర్తనను పర్యవేక్షించడం యొక్క ఆవశ్యకతను స్పష్టం చేస్తుంది.
