PHANTOMPULSE RAT
一种精心策划的社会工程攻击活动已经出现,该活动利用 Obsidian 作为初始访问途径,部署了一种此前未被记录的 Windows 远程访问木马程序 PHANTOMPULSE。该活动专门针对金融和加密货币领域的从业人员,利用他们对合法工具的信任来绕过传统的安全防范措施。
目录
REF6598行动:利用专业网络进行欺骗
网络安全研究人员将此攻击活动编号为REF6598,该活动利用LinkedIn和Telegram等平台,运用了先进的社交工程技术。攻击者首先以与风险投资公司合作为幌子接近目标,随后将对话转移到由冒充“合作伙伴”组成的Telegram群聊中,从而营造出一种令人信服的合法假象。
在这些群组中,讨论主要围绕金融服务和加密货币流动性策略展开,从而增强了群组的可信度。受害者最终被指示使用提供的凭证,通过云端托管的 Obsidian 保险库访问共享控制面板。
隐藏的触发因素:恶意金库激活
当受害者在 Obsidian 中打开共享保险库时,感染链即被激活。此时,系统会提示用户启用“已安装的社区插件”的同步功能,该功能默认处于禁用状态。此手动操作至关重要,因为它允许嵌入的恶意配置执行。
攻击者利用合法插件,特别是 Shell Commands 和 Hider 插件,来运行未经授权的代码。Shell Commands 插件用于执行恶意代码,而 Hider 插件则会隐藏状态栏和工具提示等界面元素,从而降低被检测到的可能性。该攻击的关键在于诱使用户启用插件同步功能,从而绕过内置的安全防护措施。
刻意规避:靠合法特征生存
此次攻击活动的特殊之处在于,它并非利用软件漏洞,而是策略性地滥用可信应用程序的功能。其主要特点包括:
- 恶意载荷嵌入在 JSON 配置文件中,因此不太可能触发传统的防病毒检测。
- 执行是通过一个经过签名的基于 Electron 的应用程序进行的,这使得基于父进程的检测变得复杂。
- 持久化和命令执行完全依赖于应用程序内部合法的插件机制。
Windows感染链:从加载程序到内存驻留后门
在 Windows 系统上,该攻击会启动一个基于 PowerShell 的执行链,该执行链会部署一个名为 PHANTOMPULL 的中间加载器。该加载器会直接在内存中解密并启动 PHANTOMPULSE,从而绕过基于磁盘的检测。
PHANTOMPULSE 通过查询以太坊网络,整合了基于区块链的命令与控制 (C2) 解析机制。它检索与硬编码钱包地址关联的最新交易,从而动态确定其 C2 服务器。通信通过 WinHTTP 进行,支持数据泄露、命令检索和执行报告。
该恶意软件支持多种远程控制功能:
- 注入:将 shellcode、DLL 或可执行文件注入到进程中。
- drop:在磁盘上写入和执行文件
- 屏幕截图:捕获并上传屏幕数据
- 键盘记录:启用或禁用按键记录
- 卸载:移除持久化机制并清理残留文件
- 提升权限:使用 COM 提升将权限提升到 SYSTEM。
- 降级:将权限从 SYSTEM 降低到管理员级别。
macOS 版本:混淆和灵活的 C2 基础架构
在 macOS 系统上,该攻击利用了通过相同插件机制传播的混淆 AppleScript 脚本。该脚本会循环访问预定义的域名列表,并使用 Telegram 作为备用的死信箱解析器来发现 C2 服务器。这种设计能够实现基础设施的快速轮换,从而使传统的域名封锁策略失效。
最后阶段涉及通过osascript检索并执行辅助有效载荷。然而,由于分析时C2服务器处于非活动状态,该有效载荷的全部功能仍无法确定。
攻击结果及战略意义
此次入侵最终以失败告终,防御措施在攻击目标达成前就已检测并阻止了攻击。尽管如此,REF6598 仍然凸显了威胁行为者方法论的重大演变。
通过利用可信应用程序并依赖用户驱动的配置更改,攻击者能够有效地绕过传统的安全控制措施。这种方法凸显了一种日益增长的趋势:将合法软件功能武器化为隐蔽的执行通道,强调了在网络安全防御中提高用户意识和加强行为监控的必要性。
