PHANTOMPULSE RAT

มีการค้นพบแคมเปญวิศวกรรมสังคมที่ซับซ้อน โดยใช้ Obsidian เป็นช่องทางเข้าถึงเบื้องต้นเพื่อติดตั้งมัลแวร์โทรจันสำหรับเข้าถึงระยะไกลบน Windows ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งรู้จักกันในชื่อ PHANTOMPULSE แคมเปญนี้มุ่งเป้าไปที่บุคคลที่ทำงานในภาคการเงินและสกุลเงินดิจิทัลโดยเฉพาะ โดยใช้ความเชื่อมั่นในเครื่องมือที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม

ปฏิบัติการ REF6598: การหลอกลวงผ่านเครือข่ายมืออาชีพ

แฮ็กเกอร์ด้านความปลอดภัยทางไซเบอร์รายนี้ ซึ่งได้รับการกำหนดให้เป็น REF6598 ใช้เทคนิควิศวกรรมสังคมขั้นสูงผ่านทาง LinkedIn และ Telegram โดยเริ่มต้นจากการติดต่อเป้าหมายภายใต้ข้ออ้างของการร่วมงานกับบริษัทร่วมทุน จากนั้นบทสนทนาจะถูกย้ายไปยังกลุ่มแชทใน Telegram ที่มี "หุ้นส่วน" ปลอมตัวอยู่ ทำให้ดูน่าเชื่อถืออย่างมาก

ภายในกลุ่มเหล่านี้ การสนทนาจะวนเวียนอยู่กับบริการทางการเงินและกลยุทธ์การเพิ่มสภาพคล่องของสกุลเงินดิจิทัล ซึ่งเป็นการเสริมสร้างความน่าเชื่อถือ ในท้ายที่สุด เหยื่อจะได้รับคำแนะนำให้เข้าถึงแดชบอร์ดส่วนกลางผ่านทางห้องนิรภัย Obsidian ที่โฮสต์บนคลาวด์ โดยใช้ข้อมูลประจำตัวที่ได้รับมา

ตัวกระตุ้นที่ซ่อนอยู่: การเปิดใช้งานตู้นิรภัยที่เป็นอันตราย

กระบวนการแพร่ระบาดจะเริ่มต้นขึ้นเมื่อเหยื่อเปิดพื้นที่จัดเก็บข้อมูลส่วนกลางภายใน Obsidian ในขั้นตอนนี้ ผู้ใช้จะได้รับแจ้งให้เปิดใช้งานการซิงโครไนซ์สำหรับ 'ปลั๊กอินชุมชนที่ติดตั้ง' ซึ่งเป็นคุณสมบัติที่ปิดใช้งานโดยค่าเริ่มต้น การดำเนินการด้วยตนเองนี้มีความสำคัญอย่างยิ่ง เนื่องจากจะทำให้การตั้งค่าที่เป็นอันตรายที่ฝังอยู่สามารถทำงานได้

ผู้โจมตีใช้ประโยชน์จากปลั๊กอินที่ถูกต้องตามกฎหมาย โดยเฉพาะ Shell Commands และ Hider เพื่อเรียกใช้โค้ดที่ไม่ได้รับอนุญาต Shell Commands ช่วยให้การเรียกใช้โค้ดง่ายขึ้น ในขณะที่ Hider จะซ่อนองค์ประกอบต่างๆ บนอินเทอร์เฟซ เช่น แถบสถานะและคำแนะนำเครื่องมือ ทำให้ลดโอกาสในการตรวจจับ การโจมตีนี้ขึ้นอยู่กับการโน้มน้าวให้ผู้ใช้เปิดใช้งานการซิงโครไนซ์ปลั๊กอิน ซึ่งจะทำให้ระบบหลีกเลี่ยงมาตรการป้องกันในตัวได้

การหลบเลี่ยงโดยเจตนา: อาศัยคุณสมบัติที่ถูกต้องตามกฎหมาย

แคมเปญนี้โดดเด่นตรงที่ใช้ประโยชน์จากฟังก์ชันการทำงานของแอปพลิเคชันที่เชื่อถือได้ในทางที่ผิดอย่างมีกลยุทธ์ แทนที่จะใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ ลักษณะสำคัญได้แก่:

• มัลแวร์จะถูกฝังอยู่ภายในไฟล์การกำหนดค่า JSON ทำให้มีโอกาสน้อยที่จะถูกตรวจจับโดยโปรแกรมป้องกันไวรัสแบบดั้งเดิม
• การประมวลผลเกิดขึ้นผ่านแอปพลิเคชันที่ลงนามแล้วซึ่งใช้ Electron ทำให้การตรวจจับโดยอิงจากกระบวนการหลักมีความซับซ้อนมากขึ้น
• การคงอยู่และการดำเนินการคำสั่งนั้นขึ้นอยู่กับกลไกปลั๊กอินที่ถูกต้องภายในแอปพลิเคชันโดยสิ้นเชิง

ลำดับขั้นการติดเชื้อของ Windows: จาก Loader ไปจนถึง Backdoor ที่แฝงตัวอยู่ในหน่วยความจำ

ในระบบ Windows การโจมตีจะเริ่มต้นด้วยกระบวนการทำงานแบบ PowerShell ซึ่งจะเรียกใช้ตัวโหลดระดับกลางชื่อ PHANTOMPULL ตัวโหลดนี้จะถอดรหัสและเรียกใช้ PHANTOMPULSE โดยตรงในหน่วยความจำ ทำให้หลีกเลี่ยงการตรวจจับจากดิสก์ได้

PHANTOMPULSE ผสานรวมการแก้ปัญหาการควบคุมและสั่งการ (C2) บนบล็อกเชนโดยการสอบถามเครือข่าย Ethereum มันดึงข้อมูลธุรกรรมล่าสุดที่เชื่อมโยงกับที่อยู่กระเป๋าเงินที่กำหนดไว้ล่วงหน้าเพื่อกำหนดเซิร์ฟเวอร์ C2 แบบไดนามิก การสื่อสารดำเนินการผ่าน WinHTTP ซึ่งช่วยให้สามารถดึงข้อมูล ดึงคำสั่ง และรายงานการดำเนินการได้

มัลแวร์นี้รองรับความสามารถในการควบคุมระยะไกลที่หลากหลาย:

• แทรก: แทรกโค้ดที่เป็นอันตราย (shellcode), ไฟล์ DLL หรือไฟล์ปฏิบัติการเข้าไปในกระบวนการต่างๆ
• drop: เขียนและเรียกใช้ไฟล์บนดิสก์
• การจับภาพหน้าจอ: บันทึกและอัปโหลดข้อมูลหน้าจอ
• keylog: เปิดหรือปิดการบันทึกการกดแป้นพิมพ์
• ถอนการติดตั้ง: ลบกลไกการคงอยู่และล้างสิ่งตกค้าง
• elevate: ยกระดับสิทธิ์เป็น SYSTEM โดยใช้การยกระดับสิทธิ์ผ่าน COM
• ลดระดับสิทธิ์: ลดสิทธิ์จากระดับ SYSTEM เป็นระดับผู้ดูแลระบบ

เวอร์ชัน macOS: การปกปิดข้อมูลและโครงสร้างพื้นฐาน C2 ที่ยืดหยุ่น

บน macOS การโจมตีนี้ใช้ AppleScript ที่ถูกเข้ารหัสลับซึ่งส่งผ่านกลไกปลั๊กอินเดียวกัน สคริปต์จะวนไปตามรายการโดเมนที่กำหนดไว้ล่วงหน้า และใช้ Telegram เป็นตัวแก้ไขปลายทางสำรองสำหรับการค้นหา C2 การออกแบบนี้ช่วยให้สามารถหมุนเวียนโครงสร้างพื้นฐานได้อย่างรวดเร็ว ทำให้กลยุทธ์การบล็อกโดเมนแบบดั้งเดิมไม่ได้ผล

ขั้นตอนสุดท้ายเกี่ยวข้องกับการดึงและเรียกใช้เพย์โหลดรองผ่านทาง osascript อย่างไรก็ตาม เนื่องจากเซิร์ฟเวอร์ C2 ไม่ทำงานในขณะทำการวิเคราะห์ ความสามารถทั้งหมดของเพย์โหลดนี้จึงยังไม่สามารถระบุได้อย่างชัดเจน

ผลลัพธ์ของการโจมตีและนัยยะเชิงกลยุทธ์

การบุกรุกที่ตรวจพบนั้นไม่ประสบความสำเร็จในท้ายที่สุด เนื่องจากมาตรการป้องกันตรวจจับและสกัดกั้นการโจมตีได้ก่อนที่จะบรรลุเป้าหมาย อย่างไรก็ตาม REF6598 ชี้ให้เห็นถึงวิวัฒนาการที่สำคัญในวิธีการของผู้ก่อภัยคุกคาม

ด้วยการใช้ประโยชน์จากแอปพลิเคชันที่เชื่อถือได้และอาศัยการเปลี่ยนแปลงการตั้งค่าที่ผู้ใช้เป็นผู้กำหนด ผู้โจมตีสามารถหลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมได้อย่างมีประสิทธิภาพ แนวทางนี้เน้นย้ำถึงแนวโน้มที่กำลังเติบโต: การใช้คุณสมบัติซอฟต์แวร์ที่ถูกต้องตามกฎหมายเป็นช่องทางในการดำเนินการแบบลับๆ ซึ่งเน้นย้ำถึงความจำเป็นในการเพิ่มความตระหนักรู้ของผู้ใช้และการตรวจสอบพฤติกรรมในการป้องกันภัยไซเบอร์