تستهدف حملة بريد إلكتروني ضارة المئات من مستخدمي Microsoft Office في المؤسسات التي يوجد مقرها في الولايات المتحدة لتقديم رسالة بريد إلكتروني ضارة طروادة الوصول عن بعد (RAT) التي تتجنب الكشف، جزئيًا عن طريق الظهور كبرنامج شرعي.
في حملة أطلق عليها الباحثون في Perception Point اسم "PhantomBlu"، ينتحل المهاجمون صفة خدمة محاسبة في رسائل البريد الإلكتروني التي تدعو الأشخاص إلى تنزيل ملف Microsoft Office Word، بزعم عرض "تقرير الراتب الشهري" الخاص بهم. تتلقى الأهداف تعليمات مفصلة للوصول إلى ملف "التقرير" المحمي بكلمة مرور، والذي يسلم في النهاية الملف سيئ السمعة NetSupport الفئران، البرامج الضارة انبثقت من المشروع مدير NetSupport، أداة دعم فني عن بعد مفيدة بشكل مشروع. سبق أن استخدمت الجهات الفاعلة في مجال التهديد برنامج RAT للبصمة على الأنظمة قبل إرسال برامج الفدية إليها.
"تم تصميمه للمراقبة والتحكم الخفي، فهو يحول الإدارة عن بعد إلى منصة للهجمات السيبرانية وسرقة البيانات،" خبير أمن الويب في بيرسيبشن بوينت أرييل دافيدبور كشف في منشور مدونة تم نشره هذا الأسبوع.
وكتب أن NetSupport، بمجرد تثبيته على نقطة النهاية الخاصة بالضحية، يمكنه مراقبة السلوك والتقاط ضغطات المفاتيح ونقل الملفات والاستيلاء على موارد النظام والانتقال إلى أجهزة أخرى داخل الشبكة، "كل ذلك تحت ستار برنامج دعم عن بعد حميد".
طريقة تسليم OLE المراوغة الخاصة بـ NetSupport RAT
تمثل الحملة طريقة تسليم جديدة لـ NetSupport RAT عبر معالجة قوالب ربط الكائنات وتضمينها (OLE). وكتب ديفيدبور: إنها "طريقة استغلال دقيقة" تستخدم قوالب مستندات Microsoft Office المشروعة لتنفيذ تعليمات برمجية ضارة مع تجنب الكشف.
إذا قام أحد المستخدمين بتنزيل ملف .docx المرفق برسائل الحملة واستخدم كلمة المرور المصاحبة للوصول إليه، فإن محتوى المستند يرشد الأهداف أيضًا إلى النقر فوق "تمكين التحرير" ثم النقر فوق صورة الطابعة المضمنة في المستند في من أجل عرض "الرسم البياني للرواتب".
صورة الطابعة هي في الواقع حزمة OLE، وهي ميزة مشروعة في Microsoft Windows تسمح بتضمين المستندات والكائنات الأخرى وربطها. وكتب ديفيدبور: "إن استخدامه المشروع يمكّن المستخدمين من إنشاء مستندات مركبة بعناصر من برامج مختلفة".
من خلال معالجة قالب OLE، يستغل ممثلو التهديد قوالب المستندات لتنفيذ تعليمات برمجية ضارة دون اكتشافها عن طريق إخفاء الحمولة خارج المستند. الحملة هي المرة الأولى التي يتم فيها استخدام هذه العملية في رسالة بريد إلكتروني لتسليم NetSupport RAT، وفقًا لـ Perceptive Point.
وأوضح ديفيدبور: "تتجاوز هذه التقنية المتقدمة أنظمة الأمان التقليدية عن طريق إخفاء الحمولة الضارة خارج المستند، ولا يتم تنفيذها إلا عند تفاعل المستخدم".
في الواقع، باستخدام ملفات .doc مشفرة لتقديم NetSupport RAT عبر قالب OLE وحقن القالب (CWE T1221)، تبتعد حملة PhantomBlu عن التكتيكات والتقنيات والإجراءات التقليدية (TTPs) المرتبطة عادةً بـ NetSupport عمليات نشر RAT.
وكتب ديفيدبور: "تاريخيًا، اعتمدت مثل هذه الحملات بشكل مباشر أكثر على الملفات القابلة للتنفيذ وتقنيات التصيد الأبسط". وكتب أن أسلوب OLE يوضح ابتكار الحملة لمزج "تكتيكات التهرب المتطورة مع الهندسة الاجتماعية".
الاختباء خلف الشرعية
أثناء التحقيق في الحملة، قام الباحثون في Perception Point بتحليل طريقة التسليم خطوة بخطوة، واكتشفوا أن الحمولة، مثل RAT نفسه، يختبئ خلف الشرعية في محاولة للطيران تحت الرادار.
على وجه التحديد، قامت Perceptive Point بتحليل مسار العودة ومعرف الرسالة لرسائل البريد الإلكتروني التصيدية، ومراقبة استخدام المهاجمين لـ "SendInBlue"أو خدمة بريفو. Brevo عبارة عن منصة شرعية لتوصيل البريد الإلكتروني تقدم خدمات للحملات التسويقية.
وكتب ديفيدبور: "يؤكد هذا الاختيار تفضيل المهاجمين للاستفادة من الخدمات ذات السمعة الطيبة لإخفاء نواياهم الخبيثة".
تجنب المساومة
نظرًا لأن PhantomBlu يستخدم البريد الإلكتروني كوسيلة لتوصيل البرامج الضارة، فإن التقنيات المعتادة لتجنب التسوية - مثل التعليمات والإرشادات تدريب الموظفين حول كيفية اكتشاف رسائل البريد الإلكتروني التي يحتمل أن تكون ضارة والإبلاغ عنها - قدم طلبًا.
يقول الخبراء، كقاعدة عامة، يجب ألا ينقر الأشخاص مطلقًا على مرفقات البريد الإلكتروني ما لم تكن واردة من مصدر موثوق به أو من شخص يتواصل معه المستخدمون بانتظام. علاوة على ذلك، يجب على مستخدمي الشركات بشكل خاص الإبلاغ عن الرسائل المشبوهة إلى مسؤولي تكنولوجيا المعلومات، لأنها قد تشير إلى علامات حملة ضارة.
ولمساعدة المسؤولين بشكل أكبر في تحديد PhantomBlu، قامت Perceptive Point بتضمين قائمة شاملة من TTPs ومؤشرات الاختراق (IOCs) وعناوين URL وأسماء المضيفين وعناوين IP المرتبطة بالحملة في منشور المدونة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :يكون
- $ UP
- 7
- a
- من نحن
- الوصول
- الوصول
- وفقا
- المحاسبة
- الجهات الفاعلة
- في الواقع
- عناوين
- إدارة
- الإداريين
- متقدم
- الكل
- يسمح
- an
- حلل
- و
- التقديم
- AS
- مساعدة
- أسوشيتد
- At
- الهجمات
- تجنب
- تجنب
- الباب الخلفي
- قبل
- سلوك
- وراء
- مزيج
- المدونة
- by
- الحملات
- الحملات
- CAN
- أسر
- خيار
- انقر
- الكود
- تأتي
- عادة
- مركب
- شامل
- حل وسط
- محتوى
- مراقبة
- تقليدي
- منظمة
- خلق
- الانترنت
- الهجمات الإلكترونية
- البيانات
- نقل
- تقديم
- يسلم
- التوصيل
- يوضح
- مفصلة
- كشف
- الأجهزة
- مختلف
- مباشرة
- اكتشاف
- وثيقة
- وثائق
- بإمكانك تحميله
- التنزيلات
- يطلق عليها اسم
- جهد
- عناصر
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- جزءا لا يتجزأ من
- تضمين
- تمكين
- تمكن
- مشفرة
- نقطة النهاية
- مهندسة
- الهندسة
- خاصة
- تملص
- تنفيذ
- تنفيذ
- خبير
- خبرائنا
- شرح
- استغلال
- استغلال
- الميزات
- قم بتقديم
- ملفات
- الاسم الأول
- لأول مرة
- البصمة
- في حالة
- تبدأ من
- إضافي
- العلاجات العامة
- رسم بياني
- شكل
- يملك
- he
- إخفاء
- تاريخيا
- كيفية
- كيفية
- HTTPS
- مئات
- ID
- تحديد
- صورة
- انتحال
- in
- شامل
- تشير
- من مؤشرات
- الابتكار
- تثبيت
- تعليمات
- نية
- تفاعل
- إلى
- تحقيق
- دعا
- IP
- عناوين الانترنت بروتوكول
- IT
- انها
- نفسها
- JPG
- شرعية
- شرعي
- الاستفادة من
- مثل
- ربط
- قائمة
- خبيث
- البرمجيات الخبيثة
- تلاعب
- التسويق
- قناع
- مايو..
- الرسالة
- رسائل
- طريقة
- مایکروسافت
- مايكروسوفت ويندوز
- مراقبة
- شهريا
- الأكثر من ذلك
- علاوة على ذلك
- خطوة
- شبكة
- أبدا
- سيئة السمعة
- رواية
- الدقة في درجات االإختلاف
- موضوع
- الأجسام
- of
- خصم
- عروض
- Office
- on
- فقط
- or
- طلب
- المنظمات
- أخرى
- في الخارج
- على مدى
- صفقة
- كلمة المرور
- مسار
- مجتمع
- الإدراك
- التصيد
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- منشور
- يحتمل
- سابقا
- الإجراءات
- عملية المعالجة
- البرامج
- نشرت
- رادار
- الفدية
- RAT
- تسلم
- بانتظام
- عن بعد
- تقرير
- يمثل
- حسن السمعة
- الباحثين
- الموارد
- عائد أعلى
- قاعدة
- s
- راتب
- قول
- أمن
- الخدمة
- خدماتنا
- ينبغي
- تبين
- لوحات
- بساطة
- العدالة
- هندسة اجتماعية
- تطبيقات الكمبيوتر
- شخص ما
- متطور
- مصدر
- بقعة
- نسج
- مسترق
- خطوة
- هذه
- الدعم
- المراقبة
- مشكوك فيه
- نظام
- أنظمة
- التكتيكات
- أخذ
- استهداف
- الأهداف
- تقني
- تقنية
- تقنيات
- قالب
- النماذج
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- هم
- هذا الأسبوع
- التهديد
- الجهات التهديد
- الوقت
- إلى
- أداة
- تقليدي
- تحويل
- التحويلات
- حصان طروادة
- افضل
- في النهاية
- مع
- يؤكد
- ما لم
- بناء على
- تستخدم
- مستعمل
- مفيد
- مستخدم
- المستخدمين
- يستخدم
- استخدام
- معتاد
- بواسطة
- ضحية
- المزيد
- وكان
- الويب
- أمن الويب
- أسبوع
- التي
- في حين
- نوافذ
- مع
- في غضون
- بدون
- كلمة
- كتب
- زفيرنت