"PhantomBlu" küberründajad tagavad Microsoft Office'i kasutajad OLE kaudu

Pahatahtlik meilikampaania on suunatud sadadele Microsoft Office'i kasutajatele USA-s asuvates organisatsioonides, et edastada a kaugjuurdepääsu troojalane (RAT) mis väldib tuvastamist, näidates end osaliselt seadusliku tarkvarana.

Perception Pointi teadlaste kampaanias, mille nimeks on "PhantomBlu", kehastavad ründajad meilisõnumites raamatupidamisteenust, mis kutsub inimesi alla laadima Microsoft Office Wordi faili, et näha väidetavalt oma "kuupalgaaruannet". Sihtmärgid saavad üksikasjalikud juhised parooliga kaitstud "aruande" failile juurdepääsuks, mis lõpuks edastab kurikuulsa NetSupport RAT, pahavara eemaldati legitiimsest NetSupporti haldur, õiguspäraselt kasulik tehnilise toe kaugtööriist. Ohutegijad on varem kasutanud RAT-i süsteemide jälitamiseks enne lunavara levitamist.

"Varjaliseks jälgimiseks ja juhtimiseks loodud see muudab kaughalduse küberrünnakute ja andmevarguste platvormiks," ütles Perception Pointi veebiturbeekspert Ariel Davidpur. selgus sel nädalal avaldatud ajaveebi postituses.

Pärast ohvri lõpp-punkti installimist saab NetSupport jälgida käitumist, jäädvustada klahvivajutusi, edastada faile, võtta üle süsteemiressursse ja liikuda teistele võrgus olevatele seadmetele, "kõike healoomulise kaugtoe tarkvara varjus", kirjutas ta.

NetSupport RATi vältimatu OLE-edastusmeetod

Kampaania kujutab endast NetSupport RAT-i uudset edastamismeetodit objektide linkimise ja manustamise (OLE) mallide manipuleerimise kaudu. Davidpur kirjutas, et see on "nüansirikas ekspluateerimismeetod", mis kasutab seaduslikke Microsoft Office'i dokumendimalle, et käivitada pahatahtlikku koodi, vältides tuvastamist. 

Kui kasutaja laadib alla kampaania sõnumitele lisatud faili.docx ja kasutab sellele juurde pääsemiseks kaasasolevat parooli, juhendab dokumendi sisu sihtmärke klõpsama „redigeerimise lubamine“ ja seejärel klõpsama dokumendile manustatud printeri kujutist. et näha nende "palgagraafikut".

Printeri pilt on tegelikult OLE-pakett, Microsoft Windowsi seaduslik funktsioon, mis võimaldab manustada dokumente ja muid objekte ning nendega linkida. "Selle seaduslik kasutamine võimaldab kasutajatel luua liitdokumente erinevate programmide elementidega," kirjutas Davidpur.

OLE mallide manipuleerimise kaudu kasutavad ohus osalejad dokumendimalle, et käivitada pahatahtlikku koodi ilma tuvastamiseta, peites kasuliku koormuse dokumendist väljapoole. Kampaania on Perceptive Pointi andmetel esimene kord, kui seda protsessi kasutati NetSupport RAT-i edastamiseks e-kirjas.

"See täiustatud tehnika läheb mööda traditsioonilistest turvasüsteemidest, peites pahatahtliku kasuliku koormuse väljaspool dokumenti, käivitades ainult kasutaja sekkumise," selgitas Davidpur.

Tõepoolest, kasutades krüpteeritud .doc-faile NetSupport RAT edastamiseks OLE malli ja malli sisestamise (CWE T1221) kaudu, erineb PhantomBlu kampaania tavapärastest taktikatest, tehnikatest ja protseduuridest (TTP), mida tavaliselt NetSupportiga seostatakse. RAT-i juurutused.

"Ajalooliselt on sellised kampaaniad tuginenud otsesemalt käivitatavatele failidele ja lihtsamatele andmepüügitehnikatele," kirjutas Davidpur. Ta kirjutas, et OLE-meetod demonstreerib kampaania uuenduslikkust, et kombineerida "keerukaid kõrvalehoidmistaktikaid sotsiaalse inseneriga".

Legitiimsuse taha peitmine

Kampaania uurimisel lahkasid tajupunkti teadlased samm-sammult kohaletoimetamise meetodit, avastades, et sarnaselt RAT-ile on kasulik koormus. peidab end legitiimsuse taha püüdes lennata radari alla.

Täpsemalt analüüsis Perceptive Point andmepüügimeilide tagasiteed ja sõnumi ID-d, jälgides, kuidas ründajad kasutasidSendInBlue” või Brevo teenust. Brevo on seaduslik e-posti edastamise platvorm, mis pakub teenuseid turunduskampaaniate jaoks.

"See valik rõhutab ründajate eelistust kasutada hea mainega teenuseid, et varjata oma pahatahtlikke kavatsusi," kirjutas Davidpur.

Kompromissi vältimine

Kuna PhantomBlu kasutab pahavara edastamise meetodina e-posti, kasutatakse kompromisside vältimiseks tavapäraseid tehnikaid, nagu juhendamine ja töötajate koolitamine selle kohta, kuidas potentsiaalselt pahatahtlikke e-kirju märgata ja neist teavitada – kandideerige.

Üldreeglina ei tohiks inimesed kunagi klõpsata meilimanustel, välja arvatud juhul, kui need pärinevad usaldusväärsest allikast või kelleltki, kellega kasutajad regulaarselt suhtlevad, väidavad eksperdid. Veelgi enam, eriti ettevõtete kasutajad peaksid kahtlastest sõnumitest IT-administraatoritele teatama, kuna need võivad viidata pahatahtliku kampaania tunnustele.

Et aidata administraatoritel PhantomBlu tuvastada, lisas Perceptive Point ajaveebi postitusse põhjaliku loendi TTP-dest, kompromissi indikaatoritest (IOC), URL-idest ja hostinimedest ning kampaaniaga seotud IP-aadressidest.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole