Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kimlik avı PHANTOMPULSE Sıçanı

PHANTOMPULSE Sıçanı

Mezo'de Kimlik avı, Uzaktan Yönetim Araçları'de
Çevir:

Gelişmiş bir sosyal mühendislik kampanyası ortaya çıktı; bu kampanyada Obsidian, daha önce belgelenmemiş bir Windows uzaktan erişim truva atı olan PHANTOMPULSE'u yaymak için ilk erişim vektörü olarak kullanılıyor. Kampanya özellikle finans ve kripto para sektörlerinde faaliyet gösteren kişileri hedef alıyor ve geleneksel güvenlik beklentilerini aşmak için meşru araçlara duyulan güveni kullanıyor.

Operasyon REF6598: Profesyonel Ağlar Aracılığıyla Aldatma

Siber güvenlik araştırmacıları tarafından REF6598 olarak adlandırılan bu kampanya, LinkedIn ve Telegram üzerinden gelişmiş sosyal mühendislik teknikleri kullanmaktadır. Hedeflere başlangıçta bir risk sermayesi şirketiyle iş birliği bahanesiyle yaklaşılır. Ardından, konuşmalar, meşruiyet izlenimi veren inandırıcı bir görünüm yaratan, taklit edilmiş 'ortaklar'la dolu Telegram grup sohbetlerine taşınır.

Bu gruplar içinde tartışmalar finansal hizmetler ve kripto para birimi likidite stratejileri etrafında dönerek güvenilirliği pekiştiriyor. Mağdurlara nihayetinde, sağlanan kimlik bilgilerini kullanarak bulut tabanlı bir Obsidian kasası aracılığıyla paylaşılan bir kontrol paneline erişmeleri talimatı veriliyor.

Gizli Tetikleyici: Kötü Amaçlı Kasa Etkinleştirme

Kurban Obsidian içindeki paylaşılan kasayı açtığında enfeksiyon zinciri etkinleşir. Bu aşamada, kullanıcıdan varsayılan olarak devre dışı bırakılmış olan 'Yüklenmiş topluluk eklentileri' için senkronizasyonu etkinleştirmesi istenir. Bu manuel işlem çok önemlidir, çünkü gömülü kötü amaçlı yapılandırmaların çalışmasına olanak tanır.

Saldırganlar, yetkisiz kod çalıştırmak için özellikle Shell Commands ve Hider gibi meşru eklentileri istismar ediyor. Shell Commands yürütmeyi kolaylaştırırken, Hider durum çubuğu ve ipuçları gibi arayüz öğelerini gizleyerek tespit edilme olasılığını azaltıyor. Saldırı tamamen kullanıcının eklenti senkronizasyonunu etkinleştirmesini sağlayarak yerleşik güvenlik önlemlerini atlatmaya dayanıyor.

Tasarım Yoluyla Kaçınma: Meşru Özelliklerden Faydalanmak

Bu kampanya, yazılım güvenlik açıklarından yararlanmak yerine, güvenilir uygulama işlevselliğinin stratejik olarak kötüye kullanılmasıyla öne çıkıyor. Başlıca özellikleri şunlardır:

  • Zararlı yazılımlar JSON yapılandırma dosyalarına yerleştirildiğinden, geleneksel antivirüs tespit yöntemleri tarafından tetiklenme olasılıkları daha düşüktür.
  • Yürütme işlemi, imzalı bir Electron tabanlı uygulama aracılığıyla gerçekleştirilir; bu da ana süreç tabanlı tespiti zorlaştırır.
  • Verilerin kalıcılığı ve komut yürütmesi tamamen uygulama içindeki meşru eklenti mekanizmalarına bağlıdır.

Windows Virüs Bulaşma Zinciri: Yükleyici Dosyasından Bellekte Yerleşik Arka Kapı Yazılımına

Windows sistemlerinde, saldırı, PHANTOMPULL adlı bir ara yükleyiciyi devreye sokan PowerShell tabanlı bir yürütme zinciri başlatır. Bu yükleyici, PHANTOMPULSE'ü doğrudan bellekte şifresini çözerek çalıştırır ve disk tabanlı tespitten kaçınır.

PHANTOMPULSE, Ethereum ağını sorgulayarak blok zinciri tabanlı Komuta ve Kontrol (C2) çözümlemesi sağlar. Sabit kodlanmış bir cüzdan adresine bağlı en son işlemi alarak dinamik olarak C2 sunucusunu belirler. İletişim WinHTTP üzerinden gerçekleştirilir ve bu da veri sızdırmayı, komut almayı ve yürütme raporlamasını mümkün kılar.

Bu kötü amaçlı yazılım, geniş bir yelpazede uzaktan kontrol yeteneklerini desteklemektedir:

  • inject: İşlemlere shellcode, DLL veya çalıştırılabilir dosyalar enjekte eder.
  • drop: diske dosya yazar ve dosyaları çalıştırır.
  • Ekran görüntüsü: Ekran verilerini yakalar ve yükler.
  • keylog: tuş vuruşu kaydını etkinleştirir veya devre dışı bırakır.
  • Kaldırma: Kalıcılık mekanizmalarını kaldırır ve dosyaları temizler.
  • elevate: COM yükseltmesi kullanarak ayrıcalıkları SYSTEM seviyesine yükseltir.
  • Sürüm düşürme: ayrıcalıkları SYSTEM seviyesinden yönetici seviyesine düşürür.

macOS Varyantı: Gizleme ve Esnek C2 Altyapısı

macOS'ta, saldırı aynı eklenti mekanizması aracılığıyla dağıtılan gizlenmiş bir AppleScript'ten yararlanıyor. Komut dosyası, önceden tanımlanmış bir alan adı listesi üzerinde döngü yapıyor ve C2 keşfi için yedek bir çözümleyici olarak Telegram'ı kullanıyor. Bu tasarım, altyapının hızlı bir şekilde değiştirilmesini sağlayarak geleneksel alan adı engelleme stratejilerini etkisiz hale getiriyor.

Son aşama, osascript aracılığıyla ikincil bir yükün alınmasını ve yürütülmesini içerir. Bununla birlikte, analiz sırasında C2 sunucularının aktif olmaması nedeniyle, bu yükün tüm yetenekleri henüz belirlenememiştir.

Saldırı Sonucu ve Stratejik Etkileri

Gözlemlenen saldırı, savunma önlemleri hedeflere ulaşılmadan önce saldırıyı tespit edip engellediği için sonuçta başarısız oldu. Bununla birlikte, REF6598, tehdit aktörlerinin metodolojisinde önemli bir gelişmeyi vurgulamaktadır.

Güvenilir uygulamaları istismar ederek ve kullanıcı odaklı yapılandırma değişikliklerine güvenerek, saldırganlar geleneksel güvenlik kontrollerini etkili bir şekilde atlatmaktadır. Bu yaklaşım, meşru yazılım özelliklerinin gizli yürütme kanalları olarak silahlandırılması yönündeki giderek artan bir eğilimi vurgulamakta ve siber güvenlik savunmalarında kullanıcı farkındalığının ve davranışsal izlemenin önemini ortaya koymaktadır.

trend

Yapay Zeka Destekli Pushpaganda Dolandırıcılığı

İstenmeyen e-posta
Siber güvenlik araştırmacıları, arama motoru optimizasyonunu (SEO) zehirleme ile yapay zeka tarafından üretilen içeriği birleştiren, Pushpaganda kod adlı gelişmiş bir reklam sahtekarlığı kampanyasını ortaya çıkardı. Bu operasyon, özellikle Google Discover olmak üzere içerik keşif platformlarını, meşru gibi görünen yanıltıcı haberleri öne çıkararak manipüle etmek üzere tasarlanmıştır. Nihai...

En çok görüntülenen

Yükleniyor...