PHANTOMPULSE RAT
精心策劃的社會工程攻擊活動已經出現,該活動利用 Obsidian 作為初始存取途徑,部署了一種先前未被記錄的 Windows 遠端存取木馬程式 PHANTOMPULSE。該活動專門針對金融和加密貨幣領域的從業人員,利用他們對合法工具的信任來繞過傳統的安全防範措施。
目錄
REF6598行動:利用專業網絡進行欺騙
網路安全研究人員將此攻擊活動編號為REF6598,該活動利用LinkedIn和Telegram等平台,運用了先進的社交工程技術。攻擊者首先以與創投公司合作為幌子接近目標,隨後將對話轉移到由冒充「合作夥伴」組成的Telegram群聊中,從而營造出一種令人信服的合法假象。
在這些群組中,討論主要圍繞著金融服務和加密貨幣流動性策略展開,從而增強了群組的可信度。受害者最終被指示使用提供的憑證,透過雲端託管的 Obsidian 保險庫存取共享控制面板。
隱藏的觸發因素:惡意金庫激活
當受害者在 Obsidian 中開啟共享保險庫時,感染鏈即被啟動。此時,系統會提示使用者啟用「已安裝的社群插件」的同步功能,該功能預設為停用。此手動操作至關重要,因為它允許嵌入的惡意配置執行。
攻擊者利用合法插件,特別是 Shell Commands 和 Hider 插件,來運行未經授權的程式碼。 Shell Commands 外掛程式用於執行惡意程式碼,而 Hider 外掛程式則會隱藏狀態列和工具提示等介面元素,從而降低被偵測到的可能性。此攻擊的關鍵在於誘使用戶啟用外掛程式同步功能,從而繞過內建的安全防護措施。
刻意規避:靠合法特質生存
這次攻擊活動的特殊之處在於,它並非利用軟體漏洞,而是策略性地濫用可信任應用程式的功能。其主要特點包括:
- 惡意負載嵌入在 JSON 設定檔中,因此更難觸發傳統的防毒偵測。
- 執行是透過一個已簽署的基於 Electron 的應用程式進行的,這使得基於父進程的檢測變得複雜。
- 持久化和命令執行完全依賴應用程式內部合法的插件機制。
Windows感染鏈:從載入程式到記憶體駐留後門
在 Windows 系統上,此攻擊會啟動一個基於 PowerShell 的執行鏈,該執行鏈會部署一個名為 PHANTOMPULL 的中間載入器。此載入器會直接在記憶體中解密並啟動 PHANTOMPULSE,從而繞過基於磁碟的偵測。
PHANTOMPULSE 透過查詢以太坊網絡,整合了基於區塊鏈的命令與控制 (C2) 解析機制。它檢索與硬編碼錢包位址關聯的最新交易,從而動態確定其 C2 伺服器。通訊透過 WinHTTP 進行,支援資料外洩、命令檢索和執行報告。
該惡意軟體支援多種遠端控制功能:
- 注入:將 shellcode、DLL 或執行檔注入到進程中。
- drop:在磁碟上寫入和執行文件
- 螢幕截圖:擷取並上傳螢幕數據
- 鍵盤記錄:啟用或停用按鍵記錄
- 卸載:移除持久化機制並清理殘留文件
- 提升權限:使用 COM 提升將權限提升到 SYSTEM。
- 降級:將權限從 SYSTEM 降低到管理員等級。
macOS 版本:混淆和靈活的 C2 基礎架構
在 macOS 系統上,該攻擊利用了透過相同插件機制傳播的混淆 AppleScript 腳本。該腳本會循環存取預先定義的網域列表,並使用 Telegram 作為備用的死信箱解析器來發現 C2 伺服器。這種設計能夠實現基礎設施的快速輪換,從而使傳統的網域封鎖策略失效。
最後階段涉及透過osascript檢索並執行輔助有效載荷。然而,由於分析時C2伺服器處於非活動狀態,此有效載荷的全部功能仍無法確定。
攻擊結果及戰略意義
這次入侵最終以失敗告終,防禦措施在攻擊目標達成前就已偵測並阻止了攻擊。儘管如此,REF6598 仍然凸顯了威脅行為者方法論的重大演變。
透過利用可信任應用程式並依賴用戶驅動的配置更改,攻擊者能夠有效地繞過傳統的安全控制措施。這種方法凸顯了一種日益增長的趨勢:將合法軟體功能武器化為隱藏的執行通道,強調了在網路安全防禦中提高使用者意識和加強行為監控的必要性。
