„PhantomBlu“-Cyberangreifer bieten Backdoor für Microsoft Office-Benutzer über OLE

Eine bösartige E-Mail-Kampagne zielt auf Hunderte von Microsoft Office-Benutzern in US-amerikanischen Organisationen ab, um eine zu versenden Fernzugriffstrojaner (RAT) die sich der Entdeckung entzieht, teilweise dadurch, dass sie als legitime Software angezeigt wird.

In einer von Perception Point-Forschern „PhantomBlu“ getauften Kampagne geben sich Angreifer in E-Mail-Nachrichten als Buchhaltungsdienst aus und laden Menschen dazu ein, eine Microsoft Office Word-Datei herunterzuladen, angeblich um ihren „monatlichen Gehaltsbericht“ einzusehen. Zielpersonen erhalten detaillierte Anweisungen für den Zugriff auf die passwortgeschützte „Berichts“-Datei, die letztendlich die berüchtigten Informationen liefert NetSupport RAT, Malware, die vom legitimen abgespalten wurde NetSupport Manager, ein recht nützliches Tool für den technischen Fernsupport. Früher haben Bedrohungsakteure RAT genutzt, um Systeme zu scannen, bevor sie Ransomware darauf verteilten.

„Es wurde für die heimliche Überwachung und Kontrolle entwickelt und verwandelt die Fernverwaltung in eine Plattform für Cyberangriffe und Datendiebstahl“, sagt Ariel Davidpur, Experte für Websicherheit bei Perception Point enthüllt in einem Blogbeitrag, der diese Woche veröffentlicht wurde.

Sobald NetSupport auf dem Endpunkt eines Opfers installiert ist, kann es das Verhalten überwachen, Tastenanschläge erfassen, Dateien übertragen, Systemressourcen übernehmen und auf andere Geräte im Netzwerk wechseln, „alles unter dem Deckmantel einer harmlosen Fernunterstützungssoftware“, schrieb er.

Die Evasive OLE-Bereitstellungsmethode von NetSupport RAT

Die Kampagne stellt eine neuartige Bereitstellungsmethode für NetSupport RAT durch Manipulation von Object Linking and Embedding (OLE)-Vorlagen dar. Es handele sich um eine „differenzierte Ausnutzungsmethode“, die legitime Microsoft Office-Dokumentvorlagen nutzt, um bösartigen Code auszuführen und gleichzeitig der Erkennung zu entgehen, schrieb Davidpur. 

Wenn ein Benutzer die den Nachrichten der Kampagne beigefügte DOCX-Datei herunterlädt und das zugehörige Passwort verwendet, um darauf zuzugreifen, weist der Inhalt des Dokuments die Zielgruppe außerdem an, auf „Bearbeitung aktivieren“ und dann auf das Bild eines im Dokument eingebetteten Druckers zu klicken um ihre „Gehaltsgrafik“ anzuzeigen.

Das Druckerbild ist eigentlich ein OLE-Paket, eine legitime Funktion in Microsoft Windows, die das Einbetten und Verknüpfen mit Dokumenten und anderen Objekten ermöglicht. „Seine legitime Verwendung ermöglicht es Benutzern, zusammengesetzte Dokumente mit Elementen aus verschiedenen Programmen zu erstellen“, schrieb Davidpur.

Durch die Manipulation von OLE-Vorlagen nutzen die Bedrohungsakteure Dokumentvorlagen aus, um Schadcode unbemerkt auszuführen, indem sie die Nutzdaten außerhalb des Dokuments verstecken. Laut Perceptive Point ist die Kampagne das erste Mal, dass dieser Prozess in einem E-Mail-to-Delivery-NetSupport-RAT verwendet wurde.

„Diese fortschrittliche Technik umgeht herkömmliche Sicherheitssysteme, indem sie die bösartige Nutzlast außerhalb des Dokuments verbirgt und nur bei Benutzerinteraktion ausgeführt wird“, erklärte Davidpur.

Tatsächlich weicht die PhantomBlu-Kampagne durch die Verwendung verschlüsselter .doc-Dateien zur Bereitstellung des NetSupport RAT über OLE-Vorlage und Vorlageninjektion (CWE T1221) von den herkömmlichen Taktiken, Techniken und Verfahren (TTPs) ab, die üblicherweise mit NetSupport verbunden sind RAT-Bereitstellungen.

„In der Vergangenheit stützten sich solche Kampagnen direkter auf ausführbare Dateien und einfachere Phishing-Techniken“, schrieb Davidpur. Die OLE-Methode demonstriere die Innovation der Kampagne, „ausgeklügelte Umgehungstaktiken mit Social Engineering zu verbinden“, schrieb er.

Sich hinter Legitimität verstecken

Bei ihrer Untersuchung der Kampagne analysierten die Perception Point-Forscher Schritt für Schritt die Zustellungsmethode und stellten fest, dass es sich, wie bei der RAT selbst, um die Nutzlast handelt verbirgt sich hinter der Legitimität in dem Bemühen, unter dem Radar zu fliegen.

Konkret analysierte Perceptive Point den Rückweg und die Nachrichten-ID der Phishing-E-Mails und beobachtete dabei die Verwendung der „SendInBlue” oder Brevo-Service. Brevo ist eine legitime E-Mail-Zustellungsplattform, die Dienste für Marketingkampagnen anbietet.

„Diese Wahl unterstreicht die Vorliebe der Angreifer, seriöse Dienste zu nutzen, um ihre böswilligen Absichten zu verschleiern“, schrieb Davidpur.

Kompromisse vermeiden

Da PhantomBlu E-Mail als Methode zur Übermittlung von Malware verwendet, sind die üblichen Techniken zur Vermeidung von Gefährdungen – wie Anweisungen und Mitarbeiter ausbilden Informationen zum Erkennen und Melden potenziell bösartiger E-Mails – bewerben Sie sich.

Als allgemeine Regel gilt, dass Menschen niemals auf E-Mail-Anhänge klicken sollten, es sei denn, sie stammen von einer vertrauenswürdigen Quelle oder von jemandem, mit dem Benutzer regelmäßig korrespondieren, sagen Experten. Darüber hinaus sollten insbesondere Unternehmensanwender verdächtige Nachrichten den IT-Administratoren melden, da sie möglicherweise Anzeichen einer böswilligen Kampagne darstellen.

Um Administratoren bei der Identifizierung von PhantomBlu weiter zu unterstützen, hat Perceptive Point im Blogbeitrag eine umfassende Liste von TTPs, Indicators of Compromise (IOCs), URLs und Hostnamen sowie IP-Adressen im Zusammenhang mit der Kampagne hinzugefügt.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole