Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Lừa đảo CHUỘT PHANTOMPULSE

CHUỘT PHANTOMPULSE

Đến năm Mezo năm Lừa đảo, Công cụ quản lý từ xa
Dịch sang:

Một chiến dịch tấn công phi kỹ thuật tinh vi đã xuất hiện, lợi dụng hệ điều hành Obsidian làm phương thức truy cập ban đầu để triển khai một loại mã độc Trojan truy cập từ xa trên Windows chưa từng được ghi nhận trước đây, có tên là PHANTOMPULSE. Chiến dịch này nhắm mục tiêu cụ thể vào các cá nhân hoạt động trong lĩnh vực tài chính và tiền điện tử, lợi dụng lòng tin vào các công cụ hợp pháp để vượt qua các yêu cầu bảo mật truyền thống.

Chiến dịch REF6598: Lừa đảo thông qua mạng lưới chuyên nghiệp

Được các nhà nghiên cứu an ninh mạng đặt tên là REF6598, chiến dịch này sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) tiên tiến thông qua LinkedIn và Telegram. Ban đầu, các mục tiêu bị tiếp cận dưới chiêu bài hợp tác với một công ty đầu tư mạo hiểm. Sau đó, các cuộc trò chuyện được chuyển sang các nhóm chat Telegram với những người giả mạo là "đối tác", tạo ra một vỏ bọc hợp pháp đầy thuyết phục.

Trong các nhóm này, các cuộc thảo luận xoay quanh các dịch vụ tài chính và chiến lược thanh khoản tiền điện tử, củng cố độ tin cậy. Cuối cùng, các nạn nhân được hướng dẫn truy cập vào bảng điều khiển chung thông qua kho lưu trữ Obsidian trên đám mây bằng thông tin đăng nhập được cung cấp.

Yếu tố kích hoạt ẩn: Kích hoạt kho tiền độc hại

Chuỗi lây nhiễm được kích hoạt khi nạn nhân mở kho lưu trữ dùng chung trong Obsidian. Ở giai đoạn này, người dùng được yêu cầu bật tính năng đồng bộ hóa cho 'Các plugin cộng đồng đã cài đặt', một tính năng bị tắt theo mặc định. Thao tác thủ công này rất quan trọng, vì nó cho phép các cấu hình độc hại được nhúng thực thi.

Kẻ tấn công lợi dụng các plugin hợp pháp, cụ thể là Shell Commands và Hider, để chạy mã trái phép. Trong khi Shell Commands hỗ trợ thực thi, Hider che giấu các yếu tố giao diện như thanh trạng thái và chú giải công cụ, giảm khả năng bị phát hiện. Cuộc tấn công hoàn toàn dựa vào việc thuyết phục người dùng bật tính năng đồng bộ hóa plugin, từ đó vượt qua các biện pháp bảo vệ tích hợp sẵn.

Trốn tránh có chủ đích: Sống dựa vào những đặc điểm hợp pháp

Chiến dịch này nổi bật nhờ việc lạm dụng có chủ đích các chức năng ứng dụng đáng tin cậy thay vì khai thác các lỗ hổng phần mềm. Các đặc điểm chính bao gồm:

  • Các phần mềm độc hại được nhúng trong các tệp cấu hình JSON, khiến chúng ít có khả năng bị phát hiện bởi các phần mềm diệt virus truyền thống.
  • Việc thực thi được tiến hành thông qua một ứng dụng dựa trên Electron đã được ký số, làm phức tạp việc phát hiện dựa trên tiến trình cha.
  • Việc duy trì trạng thái và thực thi lệnh hoàn toàn phụ thuộc vào các cơ chế plugin hợp pháp trong ứng dụng.

Chuỗi lây nhiễm Windows: Từ trình tải đến phần mềm độc hại thường trú trong bộ nhớ

Trên hệ thống Windows, cuộc tấn công khởi tạo một chuỗi thực thi dựa trên PowerShell, triển khai một trình tải trung gian có tên PHANTOMPULL. Trình tải này giải mã và khởi chạy PHANTOMPULL trực tiếp trong bộ nhớ, tránh bị phát hiện trên ổ đĩa.

PHANTOMPULSE tích hợp cơ chế điều khiển và giám sát (C2) dựa trên blockchain bằng cách truy vấn mạng Ethereum. Nó truy xuất giao dịch mới nhất được liên kết với địa chỉ ví được mã hóa cứng để xác định động máy chủ C2 của mình. Quá trình giao tiếp được thực hiện thông qua WinHTTP, cho phép trích xuất dữ liệu, truy xuất lệnh và báo cáo thực thi.

Phần mềm độc hại này hỗ trợ nhiều khả năng điều khiển từ xa:

  • inject: chèn shellcode, DLL hoặc các tệp thực thi vào tiến trình.
  • drop: ghi và thực thi các tập tin trên đĩa.
  • Screenshot: chụp và tải dữ liệu màn hình lên.
  • keylog: bật hoặc tắt tính năng ghi nhật ký thao tác gõ phím.
  • gỡ cài đặt: loại bỏ các cơ chế lưu trữ và dọn dẹp các thành phần còn lại.
  • elevate: nâng cao quyền hạn lên SYSTEM bằng cách sử dụng quyền nâng cao COM.
  • Hạ cấp: giảm quyền hạn từ cấp SYSTEM xuống cấp quản trị viên.

Biến thể macOS: Che giấu mã nguồn và cơ sở hạ tầng C2 linh hoạt

Trên macOS, cuộc tấn công lợi dụng một đoạn mã AppleScript bị làm mờ được phân phối thông qua cùng một cơ chế plugin. Đoạn mã này lặp qua một danh sách các tên miền được xác định trước và sử dụng Telegram làm bộ phân giải dự phòng để phát hiện máy chủ điều khiển (C2). Thiết kế này cho phép thay đổi cơ sở hạ tầng nhanh chóng, khiến các chiến lược chặn tên miền truyền thống trở nên không hiệu quả.

Giai đoạn cuối cùng bao gồm việc truy xuất và thực thi một payload thứ cấp thông qua osascript. Tuy nhiên, do các máy chủ C2 không hoạt động tại thời điểm phân tích, khả năng đầy đủ của payload này vẫn chưa được xác định.

Kết quả cuộc tấn công và ý nghĩa chiến lược

Cuộc xâm nhập được quan sát cuối cùng đã không thành công, vì các biện pháp phòng thủ đã phát hiện và ngăn chặn cuộc tấn công trước khi đạt được mục tiêu. Tuy nhiên, REF6598 cho thấy một sự phát triển đáng kể trong phương pháp của các tác nhân đe dọa.

Bằng cách khai thác các ứng dụng đáng tin cậy và dựa vào các thay đổi cấu hình do người dùng thực hiện, kẻ thù có thể dễ dàng vượt qua các biện pháp kiểm soát an ninh thông thường. Cách tiếp cận này nhấn mạnh một xu hướng đang gia tăng: việc vũ khí hóa các tính năng phần mềm hợp pháp thành các kênh thực thi bí mật, nhấn mạnh sự cần thiết phải nâng cao nhận thức của người dùng và giám sát hành vi trong phòng thủ an ninh mạng.

xu hướng

Lừa đảo tuyên truyền dựa trên trí tuệ nhân tạo

Thư rác
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch gian lận quảng cáo tinh vi, có tên mã là Pushpaganda, kết hợp giữa việc làm suy yếu tối ưu hóa công cụ tìm kiếm (SEO) với nội dung được tạo ra bởi trí tuệ nhân tạo. Chiến dịch này được thiết kế để thao túng các nền tảng khám phá nội dung, đặc biệt là Google Discover, bằng cách quảng bá các câu chuyện tin tức gây hiểu nhầm trông có...

Xem nhiều nhất

Đang tải...