PHANTOMPULSE DAGA

Isang sopistikadong kampanya sa social engineering ang lumitaw, kung saan sinasamantala ang Obsidian bilang isang paunang access vector upang mag-deploy ng isang dating hindi dokumentadong Windows remote access trojan na kilala bilang PHANTOMPULSE. Partikular na tinatarget ng kampanya ang mga indibidwal na tumatakbo sa loob ng mga sektor ng pananalapi at cryptocurrency, na ginagamit ang tiwala sa mga lehitimong tool upang malampasan ang mga tradisyonal na inaasahan sa seguridad.

Operasyon REF6598: Panlilinlang sa Pamamagitan ng mga Propesyonal na Network

Itinalaga bilang REF6598 ng mga mananaliksik sa cybersecurity, ang kampanyang ito ay gumagamit ng mga advanced na pamamaraan ng social engineering sa pamamagitan ng LinkedIn at Telegram. Ang mga target ay unang nilalapitan sa ilalim ng pagkukunwari ng pakikipagtulungan sa isang venture capital firm. Ang mga pag-uusap ay kalaunan ay inililipat sa mga group chat sa Telegram na puno ng mga nagpapanggap na 'kasosyo,' na lumilikha ng isang nakakakumbinsing anyo ng pagiging lehitimo.

Sa loob ng mga grupong ito, ang mga talakayan ay umiikot sa mga serbisyong pinansyal at mga estratehiya sa likididad ng cryptocurrency, na nagpapatibay sa kredibilidad. Sa huli, ang mga biktima ay tinuturuan na i-access ang isang shared dashboard sa pamamagitan ng isang cloud-hosted na Obsidian vault gamit ang mga ibinigay na kredensyal.

Ang Nakatagong Trigger: Pag-activate ng Malisyosong Vault

Ang kadena ng impeksyon ay naa-activate kapag binuksan ng biktima ang shared vault sa loob ng Obsidian. Sa yugtong ito, hihilingin sa user na paganahin ang synchronization para sa 'Mga naka-install na plugin ng komunidad,' isang feature na hindi pinagana bilang default. Mahalaga ang manu-manong aksyon na ito, dahil pinapayagan nito ang mga naka-embed na malisyosong configuration na maisagawa.

Ginagamit ng mga umaatake ang mga lehitimong plugin, partikular ang Shell Commands at Hider, upang magpatakbo ng mga hindi awtorisadong code. Bagama't pinapadali ng Shell Commands ang pagpapatupad, itinatago ng Hider ang mga elemento ng interface tulad ng status bar at mga tooltip, na binabawasan ang posibilidad ng pagtuklas. Ang pag-atake ay ganap na nakasalalay sa pagkumbinsi sa gumagamit na paganahin ang pag-synchronize ng plugin, sa gayon ay nilalampasan ang mga built-in na pananggalang.

Pag-iwas sa Disenyo: Pamumuhay Mula sa mga Lehitimong Katangian

Namumukod-tangi ang kampanyang ito dahil sa estratehikong pang-aabuso nito sa pinagkakatiwalaang functionality ng application sa halip na pagsamantala sa mga kahinaan ng software. Kabilang sa mga pangunahing katangian ang:

• Ang mga malisyosong payload ay naka-embed sa loob ng mga JSON configuration file, kaya mas malamang na hindi ito mag-trigger ng tradisyonal na antivirus detection.
• Isinasagawa ang pagpapatupad sa pamamagitan ng isang nilagdaang aplikasyon na nakabatay sa Electron, na nagpapakomplikado sa pagtuklas batay sa proseso ng magulang.
• Ang pagtitiyaga at pagpapatupad ng utos ay lubos na nakasalalay sa mga lehitimong mekanismo ng plugin sa loob ng aplikasyon

Windows Infection Chain: Mula Loader Hanggang Memory-Resident Backdoor

Sa mga sistema ng Windows, ang pag-atake ay nagsisimula ng isang PowerShell-based execution chain na nagde-deploy ng isang intermediate loader na pinangalanang PHANTOMPULSE. Dini-decrypt at inilulunsad ng loader na ito ang PHANTOMPULSE nang direkta sa memorya, na iniiwasan ang disk-based detection.

Isinasama ng PHANTOMPULSE ang resolusyon ng Command-and-Control (C2) na nakabatay sa blockchain sa pamamagitan ng pag-query sa Ethereum network. Kinukuha nito ang pinakabagong transaksyon na naka-link sa isang hard-coded wallet address upang dynamic na matukoy ang C2 server nito. Ang komunikasyon ay isinasagawa sa pamamagitan ng WinHTTP, na nagbibigay-daan sa pag-exfilt ng data, pagkuha ng command, at pag-uulat ng pagpapatupad.

Sinusuportahan ng malware ang malawak na hanay ng mga kakayahan sa remote control:

• inject: nag-i-inject ng shellcode, DLLs, o executables sa mga proseso
• drop: nagsusulat at nagpapatupad ng mga file sa disk
• screenshot: kumukuha at nag-a-upload ng data ng screen
• keylog: pinapagana o hindi pinapagana ang pag-log ng keystroke
• i-uninstall: inaalis ang mga mekanismo ng persistence at nililinis ang mga artifact
• elevate: itinataas ang mga pribilehiyo sa SYSTEM gamit ang COM elevation
• downgrade: binabawasan ang mga pribilehiyo mula sa SYSTEM patungo sa antas ng administrator

macOS Variant: Obfuscation at Flexible na C2 Infrastructure

Sa macOS, ginagamit ng pag-atake ang isang nalilitong AppleScript na inihahatid sa pamamagitan ng parehong mekanismo ng plugin. Ang script ay umiikot sa isang paunang natukoy na listahan ng mga domain at ginagamit ang Telegram bilang isang fallback dead-drop resolver para sa pagtuklas ng C2. Ang disenyong ito ay nagbibigay-daan sa mabilis na pag-ikot ng imprastraktura, na ginagawang hindi epektibo ang mga tradisyonal na estratehiya sa pagharang ng domain.

Ang huling yugto ay kinabibilangan ng pagkuha at pagpapatupad ng pangalawang payload sa pamamagitan ng osascript. Gayunpaman, dahil sa mga hindi aktibong C2 server sa oras ng pagsusuri, ang buong kakayahan ng payload na ito ay nananatiling hindi pa natutukoy.

Kinalabasan ng Pag-atake at mga Istratehikong Implikasyon

Ang naobserbahang panghihimasok ay hindi naging matagumpay sa huli, dahil natukoy at naharang ng mga hakbang sa pagtatanggol ang pag-atake bago pa man makamit ang mga layunin. Gayunpaman, itinatampok ng REF6598 ang isang makabuluhang ebolusyon sa metodolohiya ng threat actor.

Sa pamamagitan ng paggamit ng mga pinagkakatiwalaang aplikasyon at pag-asa sa mga pagbabago sa configuration na pinapagana ng gumagamit, epektibong nilalampasan ng mga kalaban ang mga kumbensyonal na kontrol sa seguridad. Binibigyang-diin ng pamamaraang ito ang isang lumalaking trend: ang paggamit ng mga lehitimong tampok ng software bilang mga palihim na channel ng pagpapatupad, na nagbibigay-diin sa pangangailangan para sa mas mataas na kamalayan ng gumagamit at pagsubaybay sa pag-uugali sa mga depensa sa cybersecurity.