'PhantomBlu' Cyberattackers Backdoor Microsoft Office-brugere via OLE

En ondsindet e-mail-kampagne er rettet mod hundredvis af Microsoft Office-brugere i USA-baserede organisationer for at levere en fjernadgang trojaner (RAT) der unddrager sig registrering, delvist ved at vise sig som legitim software.

I en kampagne kaldet "PhantomBlu" af forskere ved Perception Point, efterligner angribere en regnskabstjeneste i e-mail-meddelelser, der inviterer folk til at downloade en Microsoft Office Word-fil, angiveligt for at se deres "månedlige lønrapport." Mål modtager detaljerede instruktioner for at få adgang til den adgangskodebeskyttede "rapport" fil, som i sidste ende leverer den berygtede NetSupport RAT, malware udskilt fra den legitime NetSupport Manager, et lovligt nyttigt teknisk fjernsupportværktøj. Trusselaktører har tidligere brugt RAT til at footprinte systemer, før de har leveret ransomware på dem.

"Konstrueret til snigende overvågning og kontrol, transformerer den fjernadministration til en platform for cyberangreb og datatyveri," Perception Point Web-sikkerhedsekspert Ariel Davidpur afslørede i et blogindlæg offentliggjort i denne uge.

Når det først er installeret på et offers slutpunkt, kan NetSupport overvåge adfærd, fange tastetryk, overføre filer, overtage systemressourcer og flytte til andre enheder på netværket, "alt sammen under dække af en godartet fjernsupportsoftware," skrev han.

NetSupport RAT's undvigende OLE-leveringsmetode

Kampagnen repræsenterer en ny leveringsmetode for NetSupport RAT via manipulation af Object Linking and Embedding (OLE) skabeloner. Det er en "nuanceret udnyttelsesmetode", der bruger legitime Microsoft Office-dokumentskabeloner til at udføre ondsindet kode, mens man undgår opdagelse, skrev Davidpur. 

Hvis en bruger downloader.docx-filen vedhæftet kampagnens meddelelser og bruger den medfølgende adgangskode til at få adgang til den, instruerer indholdet af dokumentet yderligere mål om at klikke på "aktiver redigering" og derefter klikke på billedet af en printer, der er indlejret i dokumentet i for at se deres "løngraf".

Printerbilledet er faktisk en OLE-pakke, en legitim funktion i Microsoft Windows, der tillader indlejring og linkning til dokumenter og andre objekter. "Den legitime brug gør det muligt for brugere at skabe sammensatte dokumenter med elementer fra forskellige programmer," skrev Davidpur.

Via OLE-skabelonmanipulation udnytter trusselsaktørerne dokumentskabeloner til at udføre ondsindet kode uden registrering ved at skjule nyttelasten uden for dokumentet. Kampagnen er første gang, denne proces blev brugt i en e-mail til levering af NetSupport RAT, ifølge Perceptive Point.

"Denne avancerede teknik omgår traditionelle sikkerhedssystemer ved at skjule den ondsindede nyttelast uden for dokumentet og udføres kun ved brugerinteraktion," forklarede Davidpur.

Faktisk, ved at bruge krypterede .doc-filer til at levere NetSupport RAT via OLE-skabelon og skabeloninjektion (CWE T1221), afviger PhantomBlu-kampagnen fra de konventionelle taktikker, teknikker og procedurer (TTP'er), der almindeligvis forbindes med NetSupport RAT-implementeringer.

"Historisk har sådanne kampagner stolet mere direkte på eksekverbare filer og enklere phishing-teknikker," skrev Davidpur. OLE-metoden demonstrerer kampagnens innovation til at blande "sofistikeret unddragelsestaktik med social engineering," skrev han.

Gemmer sig bag legitimitet

I deres undersøgelse af kampagnen dissekerede Perception Point-forskerne leveringsmetoden trin for trin og opdagede, at nyttelasten ligesom RAT selv gemmer sig bag legitimitet i et forsøg på at flyve under radaren.

Specifikt analyserede Perceptive Point returstien og besked-id'et for phishing-e-mails og observerede angribernes brug af "SendInBlue” eller Brevo service. Brevo er en legitim e-mail-leveringsplatform, der tilbyder tjenester til marketingkampagner.

"Dette valg understreger angribernes præference for at udnytte velrenommerede tjenester til at maskere deres ondsindede hensigter," skrev Davidpur.

Undgå kompromis

Da PhantomBlu bruger e-mail som sin metode til at levere malware, er de sædvanlige teknikker til at undgå kompromis - såsom instruktion og uddannelse af medarbejdere om, hvordan man spotter og rapporterer potentielt ondsindede e-mails — ansøg.

Som en generel regel bør folk aldrig klikke på vedhæftede filer i e-mails, medmindre de kommer fra en betroet kilde eller en, som brugerne regelmæssigt korresponderer med, siger eksperter. Desuden bør især virksomhedsbrugere rapportere mistænkelige beskeder til it-administratorer, da de kan indikere tegn på en ondsindet kampagne.

For yderligere at hjælpe administratorer med at identificere PhantomBlu inkluderede Perceptive Point en omfattende liste over TTP'er, kompromisindikatorer (IOC'er), URL'er og værtsnavne og IP-adresser forbundet med kampagnen i blogindlægget.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole