Μια κακόβουλη καμπάνια ηλεκτρονικού ταχυδρομείου στοχεύει εκατοντάδες χρήστες του Microsoft Office σε οργανισμούς που εδρεύουν στις ΗΠΑ για να παραδώσει ένα trojan απομακρυσμένης πρόσβασης (RAT) που αποφεύγει τον εντοπισμό, εν μέρει εμφανιζόμενος ως νόμιμο λογισμικό.
Σε μια καμπάνια που ονομάστηκε "PhantomBlu" από ερευνητές στο Perception Point, οι εισβολείς υποδύονται μια λογιστική υπηρεσία σε μηνύματα ηλεκτρονικού ταχυδρομείου που καλούν τους ανθρώπους να κατεβάσουν ένα αρχείο Microsoft Office Word, υποτίθεται για να δουν την "μηνιαία αναφορά μισθού τους". Οι στόχοι λαμβάνουν λεπτομερείς οδηγίες για την πρόσβαση στο προστατευμένο με κωδικό πρόσβασης αρχείο "αναφοράς", το οποίο τελικά παρέχει το περιβόητο NetSupport RAT, κακόβουλο λογισμικό αποσπάστηκε από το νόμιμο NetSupport Manager, ένα νόμιμα χρήσιμο εργαλείο απομακρυσμένης τεχνικής υποστήριξης. Οι φορείς απειλών είχαν χρησιμοποιήσει στο παρελθόν το RAT για να αποτυπώσουν συστήματα πριν από την παράδοση ransomware σε αυτά.
"Σχεδιασμένο για κρυφή παρακολούθηση και έλεγχο, μετατρέπει την απομακρυσμένη διαχείριση σε πλατφόρμα για επιθέσεις στον κυβερνοχώρο και κλοπή δεδομένων", ο ειδικός σε θέματα ασφάλειας του Perception Point Web Ariel Davidpur. αποκάλυψε σε μια ανάρτηση ιστολογίου που δημοσιεύτηκε αυτή την εβδομάδα.
Μόλις εγκατασταθεί στο τελικό σημείο του θύματος, το NetSupport μπορεί να παρακολουθεί τη συμπεριφορά, να καταγράφει πατήματα πλήκτρων, να μεταφέρει αρχεία, να αναλαμβάνει τους πόρους του συστήματος και να μετακινείται σε άλλες συσκευές εντός του δικτύου, «όλα υπό το πρόσχημα ενός καλοήθους λογισμικού απομακρυσμένης υποστήριξης», έγραψε.
NetSupport RAT's Evasive OLE Μέθοδος Παράδοσης
Η καμπάνια αντιπροσωπεύει μια νέα μέθοδο παράδοσης για το NetSupport RAT μέσω χειρισμού προτύπων σύνδεσης και ενσωμάτωσης αντικειμένων (OLE). Είναι μια «μεθοδολογία αποχρώσεων» που χρησιμοποιεί νόμιμα πρότυπα εγγράφων του Microsoft Office για την εκτέλεση κακόβουλου κώδικα ενώ αποφεύγει τον εντοπισμό, έγραψε ο Davidpur.
Εάν ένας χρήστης πραγματοποιήσει λήψη του αρχείου.docx που είναι συνημμένο στα μηνύματα της καμπάνιας και χρησιμοποιήσει τον συνοδευτικό κωδικό πρόσβασης για πρόσβαση σε αυτό, το περιεχόμενο του εγγράφου δίνει περαιτέρω οδηγίες στους στόχους να κάνουν κλικ στην "ενεργοποίηση επεξεργασίας" και στη συνέχεια να κάνουν κλικ στην εικόνα ενός εκτυπωτή που είναι ενσωματωμένος στο έγγραφο στο για να δείτε το "γράφημα μισθού" τους.
Η εικόνα του εκτυπωτή είναι στην πραγματικότητα ένα πακέτο OLE, μια νόμιμη δυνατότητα στα Microsoft Windows που επιτρέπει την ενσωμάτωση και τη σύνδεση με έγγραφα και άλλα αντικείμενα. «Η νόμιμη χρήση του επιτρέπει στους χρήστες να δημιουργούν σύνθετα έγγραφα με στοιχεία από διαφορετικά προγράμματα», έγραψε ο Davidpur.
Μέσω του χειρισμού προτύπων OLE, οι φορείς απειλών εκμεταλλεύονται πρότυπα εγγράφων για να εκτελέσουν κακόβουλο κώδικα χωρίς εντοπισμό, κρύβοντας το ωφέλιμο φορτίο έξω από το έγγραφο. Η καμπάνια είναι η πρώτη φορά που αυτή η διαδικασία χρησιμοποιήθηκε σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στην παράδοση του NetSupport RAT, σύμφωνα με το Perceptive Point.
«Αυτή η προηγμένη τεχνική παρακάμπτει τα παραδοσιακά συστήματα ασφαλείας κρύβοντας το κακόβουλο ωφέλιμο φορτίο έξω από το έγγραφο, εκτελώντας μόνο κατά την αλληλεπίδραση με τον χρήστη», εξήγησε ο Davidpur.
Πράγματι, χρησιμοποιώντας κρυπτογραφημένα αρχεία .doc για την παράδοση του NetSupport RAT μέσω OLE template and template injection (CWE T1221), η καμπάνια PhantomBlu ξεφεύγει από τις συμβατικές τακτικές, τεχνικές και διαδικασίες (TTP) που συνήθως σχετίζονται με το NetSupport Αναπτύξεις RAT.
«Ιστορικά, τέτοιες καμπάνιες βασίζονταν πιο άμεσα σε εκτελέσιμα αρχεία και απλούστερες τεχνικές phishing», έγραψε ο Davidpur. Η μέθοδος OLE καταδεικνύει την καινοτομία της εκστρατείας να συνδυάζει «εξελιγμένες τακτικές φοροδιαφυγής με την κοινωνική μηχανική», έγραψε.
Κρύβεται πίσω από τη νομιμότητα
Κατά την έρευνά τους για την εκστρατεία, οι ερευνητές του Perception Point ανέλυσαν τη μέθοδο παράδοσης βήμα προς βήμα, ανακαλύπτοντας ότι, όπως και ο ίδιος ο RAT, το ωφέλιμο φορτίο κρύβεται πίσω από τη νομιμότητα σε μια προσπάθεια να πετάξει κάτω από το ραντάρ.
Συγκεκριμένα, το Perceptive Point ανέλυσε τη διαδρομή επιστροφής και το αναγνωριστικό μηνύματος των μηνυμάτων ηλεκτρονικού ψαρέματος, παρατηρώντας τη χρήση από τους εισβολείς του «SendInBlue” ή υπηρεσία Brevo. Η Brevo είναι μια νόμιμη πλατφόρμα παράδοσης email που προσφέρει υπηρεσίες για καμπάνιες μάρκετινγκ.
«Αυτή η επιλογή υπογραμμίζει την προτίμηση των επιτιθέμενων να αξιοποιούν αξιόπιστες υπηρεσίες για να κρύψουν την κακόβουλη πρόθεσή τους», έγραψε ο Davidpur.
Αποφυγή συμβιβασμού
Δεδομένου ότι το PhantomBlu χρησιμοποιεί το ηλεκτρονικό ταχυδρομείο ως μέθοδο για την παράδοση κακόβουλου λογισμικού, οι συνήθεις τεχνικές για την αποφυγή συμβιβασμού — όπως η παροχή οδηγιών και εκπαίδευση εργαζομένων σχετικά με τον τρόπο εντοπισμού και αναφοράς δυνητικά κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου — εφαρμόστε.
Κατά γενικό κανόνα, οι άνθρωποι δεν πρέπει ποτέ να κάνουν κλικ σε συνημμένα email εκτός εάν προέρχονται από μια αξιόπιστη πηγή ή από κάποιον με τον οποίο οι χρήστες αλληλογραφούν τακτικά, λένε οι ειδικοί. Επιπλέον, ειδικά οι εταιρικοί χρήστες θα πρέπει να αναφέρουν ύποπτα μηνύματα στους διαχειριστές IT, καθώς μπορεί να υποδεικνύουν σημάδια κακόβουλης καμπάνιας.
Για να βοηθήσει περαιτέρω τους διαχειριστές στον εντοπισμό του PhantomBlu, το Perceptive Point συμπεριέλαβε μια ολοκληρωμένη λίστα με TTP, δείκτες συμβιβασμού (IOC), URL και ονόματα κεντρικών υπολογιστών και διευθύνσεις IP που σχετίζονται με την καμπάνια στην ανάρτηση ιστολογίου.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :είναι
- $UP
- 7
- a
- Σχετικα
- πρόσβαση
- πρόσβαση
- Σύμφωνα με
- Λογιστήριο
- φορείς
- πραγματικά
- διευθύνσεις
- διαχείριση
- διαχειριστές
- προηγμένες
- Όλα
- επιτρέπει
- an
- αναλύθηκε
- και
- Εφαρμογή
- AS
- βοηθήσει
- συσχετισμένη
- At
- Επιθέσεις
- αποφύγετε
- αποφεύγοντας
- κερκόπορτα
- πριν
- συμπεριφορά
- πίσω
- Μείγμα
- Μπλοκ
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- πιάνω
- επιλογή
- κλικ
- κωδικός
- Ελάτε
- συνήθως
- Χημική ένωση
- περιεκτικός
- συμβιβασμός
- περιεχόμενο
- έλεγχος
- συμβατικός
- Εταιρικές εκδηλώσεις
- δημιουργία
- στον κυβερνοχώρο
- Cyber Attacks
- ημερομηνία
- παραδώσει
- παράδοση
- παραδίδει
- διανομή
- καταδεικνύει
- λεπτομερής
- Ανίχνευση
- Συσκευές
- διαφορετικές
- κατευθείαν
- ανακαλύπτοντας
- έγγραφο
- έγγραφα
- κατεβάσετε
- λήψεις
- μεταγλωττισμένο
- προσπάθεια
- στοιχεία
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενσωματωμένο
- ενσωμάτωση
- ενεργοποιήσετε
- δίνει τη δυνατότητα
- κρυπτογραφημένα
- Τελικό σημείο
- μηχανικής
- Μηχανική
- ειδικά
- φοροδιαφυγής
- εκτελέσει
- εκτέλεσης
- εμπειρογνώμονας
- εμπειρογνώμονες
- εξήγησε
- Εκμεταλλεύομαι
- εκμετάλλευση
- Χαρακτηριστικό
- Αρχεία
- Αρχεία
- Όνομα
- πρώτη φορά
- Ίχνος
- Για
- από
- περαιτέρω
- General
- γραφική παράσταση
- πρόσχημα
- Έχω
- he
- απόκρυψη
- ιστορικά
- Πως
- Πώς να
- HTTPS
- Εκατοντάδες
- ID
- προσδιορισμό
- εικόνα
- υποδύομαι
- in
- περιλαμβάνονται
- υποδεικνύω
- δείκτες
- Καινοτομία
- εγκατασταθεί
- οδηγίες
- πρόθεση
- αλληλεπίδραση
- σε
- έρευνα
- προσκαλούν
- IP
- Διευθύνσεις IP
- IT
- ΤΟΥ
- εαυτό
- jpg
- νομιμότητα
- νόμιμος
- μόχλευσης
- Μου αρέσει
- σύνδεση
- Λιστα
- κακόβουλο
- malware
- Χειρισμός
- Μάρκετινγκ
- μάσκα
- Ενδέχεται..
- μήνυμα
- μηνύματα
- μέθοδος
- Microsoft
- Microsoft Windows
- Παρακολούθηση
- μηνιαίος
- περισσότερο
- Εξάλλου
- μετακινήσετε
- δίκτυο
- ποτέ
- διαβόητος
- μυθιστόρημα
- αποχρώσεις
- αντικείμενο
- αντικειμένων
- of
- off
- προσφορές
- Office
- on
- αποκλειστικά
- or
- τάξη
- οργανώσεις
- ΑΛΛΑ
- εκτός
- επί
- πακέτο
- Κωδικός Πρόσβασης
- μονοπάτι
- People
- αντίληψη
- Phishing
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Θέση
- ενδεχομένως
- προηγουμένως
- διαδικασίες
- διαδικασια μας
- Προγράμματα
- δημοσιεύθηκε
- ραντάρ
- ransomware
- ΑΡΟΥΡΑΙΟΣ
- λαμβάνω
- τακτικά
- μακρινός
- αναφέρουν
- αντιπροσωπεύει
- ευυπόληπτος
- ερευνητές
- Υποστηρικτικό υλικό
- απόδοση
- Άρθρο
- s
- μισθός
- λένε
- ασφάλεια
- υπηρεσία
- Υπηρεσίες
- θα πρέπει να
- επίδειξη
- Σημάδια
- απλούστερη
- Μ.Κ.Δ
- Κοινωνική μηχανική
- λογισμικό
- Κάποιος
- εξελιγμένα
- Πηγή
- Spot
- περιστρέφεται
- λαθραίος
- Βήμα
- τέτοιος
- υποστήριξη
- επιτήρηση
- ύποπτος
- σύστημα
- συστήματα
- τακτική
- Πάρτε
- στόχευση
- στόχους
- Τεχνικός
- τεχνική
- τεχνικές
- πρότυπο
- πρότυπα
- ότι
- Η
- κλοπή
- τους
- Τους
- τότε
- αυτοί
- αυτό
- αυτή την εβδομάδα
- απειλή
- απειλή
- ώρα
- προς την
- εργαλείο
- παραδοσιακός
- μεταφορά
- μετασχηματισμών
- Trojan
- Έμπιστος
- τελικά
- υπό
- υπογράμμισης
- εκτός
- επάνω σε
- χρήση
- μεταχειρισμένος
- χρήσιμος
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- συνήθης
- μέσω
- Θύμα
- Δες
- ήταν
- ιστός
- Ασφάλεια Ιστού
- εβδομάδα
- Ποιό
- ενώ
- παράθυρα
- με
- εντός
- χωρίς
- λέξη
- Έγραψε
- zephyrnet