ЩУР ФАНТОМПУЛЬС
З'явилася складна кампанія соціальної інженерії, яка використовує Obsidian як початковий вектор доступу для розгортання раніше недокументованого трояна віддаленого доступу до Windows, відомого як PHANTOMPULSE. Кампанія спеціально спрямована на осіб, які працюють у фінансовому секторі та секторі криптовалют, використовуючи довіру до легітимних інструментів для обходу традиційних вимог безпеки.
Зміст
Операція REF6598: Обман через професійні мережі
Ця кампанія, позначена дослідниками кібербезпеки як REF6598, використовує передові методи соціальної інженерії через LinkedIn та Telegram. Спочатку до цілей звертаються під приводом співпраці з венчурною фірмою. Згодом розмови переходять у групові чати Telegram, заповнені видаваними «партнерами», створюючи переконливий фасад легітимності.
У цих групах обговорення обертаються навколо фінансових послуг та стратегій ліквідності криптовалют, що зміцнює довіру. Зрештою, жертвам надається інструкція отримати доступ до спільної інформаційної панелі через хмарне сховище Obsidian, використовуючи надані облікові дані.
Прихований тригер: активація шкідливого сховища
Ланцюг зараження активується, коли жертва відкриває спільне сховище в Obsidian. На цьому етапі користувачеві пропонується ввімкнути синхронізацію для «Встановлених плагінів спільноти», функція, яка за замовчуванням вимкнена. Ця ручна дія є критично важливою, оскільки вона дозволяє виконувати вбудовані шкідливі конфігурації.
Зловмисники використовують легітимні плагіни, зокрема Shell Commands та Hider, для запуску неавторизованого коду. Хоча Shell Commands спрощує виконання, Hider приховує елементи інтерфейсу, такі як рядок стану та підказки, зменшуючи ймовірність виявлення. Атака повністю залежить від переконання користувача ввімкнути синхронізацію плагінів, тим самим обходячи вбудовані засоби захисту.
Ухилення за задумом: життя за рахунок законних функцій
Ця кампанія вирізняється стратегічним зловживанням функціональністю довірених програм, а не використанням вразливостей програмного забезпечення. Ключові характеристики включають:
- Шкідливі корисні навантаження вбудовані у файли конфігурації JSON, що зменшує ймовірність їх спрацьовування традиційним антивірусним виявленням.
- Виконання здійснюється через підписану програму на базі Electron, що ускладнює виявлення на основі батьківського процесу.
- Збереження та виконання команд повністю залежать від легітимних механізмів плагінів у програмі
Ланцюг зараження Windows: від завантажувача до резидентного бекдору в пам’яті
У системах Windows атака ініціює ланцюжок виконання на основі PowerShell, який розгортає проміжний завантажувач під назвою PHANTOMPULL. Цей завантажувач розшифровує та запускає PHANTOMPULSE безпосередньо в пам'яті, уникаючи виявлення на диску.
PHANTOMPULSE використовує командно-контрольну (C2) систему на основі блокчейну, надсилаючи запити до мережі Ethereum. Він отримує останню транзакцію, пов'язану з жорстко закодованою адресою гаманця, для динамічного визначення свого C2-сервера. Зв'язок здійснюється через WinHTTP, що дозволяє вилучати дані, отримувати команди та звітувати про їх виконання.
Шкідливе програмне забезпечення підтримує широкий набір можливостей віддаленого керування:
- inject: впроваджує шелл-код, DLL-бібліотеки або виконувані файли в процеси
- drop: записує та виконує файли на диску
- знімок екрана: робить знімки та завантажує дані з екрана
- журнал клавіш: вмикає або вимикає реєстрацію натискань клавіш
- видалення: видаляє механізми збереження та очищує артефакти
- elevate: підвищує привілеї до SYSTEM, використовуючи підвищення прав COM
- зниження рівня: знижує привілеї з рівня СИСТЕМА до рівня адміністратора
Варіант macOS: обфускація та гнучка інфраструктура C2
У macOS атака використовує обфускований AppleScript, що постачається через той самий механізм плагіна. Скрипт циклічно перебирає заздалегідь визначений список доменів і використовує Telegram як резервний засіб для виявлення C2. Така конструкція забезпечує швидку ротацію інфраструктури, що робить традиційні стратегії блокування доменів неефективними.
Заключний етап включає отримання та виконання вторинного корисного навантаження через osascript. Однак, через неактивність серверів C2 на момент аналізу, повні можливості цього корисного навантаження залишаються невизначеними.
Результат атаки та стратегічні наслідки
Спостережуване вторгнення зрештою виявилося невдалим, оскільки захисні заходи виявили та заблокували атаку до досягнення цілей. Тим не менш, REF6598 підкреслює значну еволюцію в методології дій зловмисників.
Використовуючи довірені програми та покладаючись на зміни конфігурації, ініційовані користувачем, зловмисники ефективно обходять звичайні засоби контролю безпеки. Такий підхід підкреслює зростаючу тенденцію: використання легітимних програмних функцій як прихованих каналів виконання, що підкреслює необхідність підвищеної обізнаності користувачів та моніторингу поведінки в кіберзахисті.
