یک کمپین ایمیل مخرب صدها کاربر مایکروسافت آفیس را در سازمانهای مستقر در ایالات متحده هدف قرار میدهد تا یک پیام ارسال کند تروجان دسترسی از راه دور (RAT) که تا حدی با نشان دادن به عنوان نرم افزار قانونی از تشخیص فرار می کند.
در کمپینی به نام PhantomBlu توسط محققان در Perception Point، مهاجمان جعل یک سرویس حسابداری را در پیامهای ایمیلی جعل میکنند که افراد را دعوت میکند تا فایل Microsoft Office Word را دانلود کنند تا ظاهراً «گزارش حقوق ماهانه» خود را مشاهده کنند. هدفها دستورالعملهای دقیقی را برای دسترسی به فایل «گزارش» محافظتشده با رمز عبور دریافت میکنند، که در نهایت این فایل بدنام را ارائه میکند. NetSupport RAT، بدافزار از قانون منفجر شد مدیر NetSupport، یک ابزار پشتیبانی فنی از راه دور کاملاً مفید است. عوامل تهدید قبلاً از RAT برای ردیابی سیستمها قبل از ارائه باجافزار بر روی آنها استفاده میکردند.
آریل دیویدپور، کارشناس امنیت وب Perception Point، "برای نظارت و کنترل مخفیانه طراحی شده است، مدیریت از راه دور را به بستری برای حملات سایبری و سرقت داده ها تبدیل می کند." نشان داد در یک پست وبلاگی که این هفته منتشر شد.
پس از نصب بر روی نقطه پایانی قربانی، NetSupport میتواند رفتار را کنترل کند، ضربههای کلید را ضبط کند، فایلها را انتقال دهد، منابع سیستم را در اختیار بگیرد و به دستگاههای دیگر درون شبکه منتقل شود، «همه تحت پوشش یک نرمافزار پشتیبانی از راه دور خوشخیم».
NetSupport RAT's Evasive OLE Delivery Method
این کمپین یک روش تحویل جدید را برای NetSupport RAT از طریق دستکاری الگوهای Object Linking و Embedding (OLE) نشان میدهد. دیویدپور نوشت: این یک "روش بهره برداری ظریف" است که از الگوهای اسناد قانونی مایکروسافت آفیس برای اجرای کدهای مخرب در حین فرار از شناسایی استفاده می کند.
اگر کاربر فایل.docx پیوست شده به پیامهای کمپین را دانلود کند و از رمز عبور همراه برای دسترسی به آن استفاده کند، محتوای سند بیشتر به هدفها دستور میدهد تا روی «فعال کردن ویرایش» کلیک کنند و سپس روی تصویر چاپگر تعبیهشده روی سند کلیک کنند. برای مشاهده "نمودار حقوق و دستمزد" آنها.
تصویر چاپگر در واقع یک بسته OLE است، یک ویژگی قانونی در ویندوز مایکروسافت که امکان جاسازی و پیوند به اسناد و سایر اشیاء را فراهم می کند. دیویدپور نوشت: "استفاده قانونی از آن به کاربران امکان می دهد اسناد ترکیبی را با عناصر برنامه های مختلف ایجاد کنند."
از طریق دستکاری الگوی OLE، عوامل تهدید از الگوهای سند برای اجرای کد مخرب بدون شناسایی با پنهان کردن بار در خارج از سند سوء استفاده می کنند. به گزارش Perceptive Point، این کمپین اولین بار است که از این فرآیند در ایمیلی برای تحویل NetSupport RAT استفاده می شود.
دیویدپور توضیح داد: «این تکنیک پیشرفته با پنهان کردن بار مخرب در خارج از سند، سیستمهای امنیتی سنتی را دور میزند و تنها در صورت تعامل با کاربر اجرا میشود».
در واقع، با استفاده از فایلهای .doc رمزگذاریشده برای ارائه NetSupport RAT از طریق الگوی OLE و تزریق قالب (CWE T1221)، کمپین PhantomBlu از تاکتیکها، تکنیکها و رویههای مرسوم (TTPs) که معمولاً با NetSupport مرتبط است فاصله میگیرد. استقرار RAT.
دیویدپور نوشت: «از لحاظ تاریخی، چنین کمپینهایی مستقیماً بر فایلهای اجرایی و تکنیکهای سادهتر فیشینگ متکی بودهاند. او نوشت، روش OLE نوآوری کمپین را برای ترکیب «تاکتیکهای پیچیده فرار با مهندسی اجتماعی» نشان میدهد.
پنهان شدن در پشت مشروعیت
در تحقیقات خود در مورد کمپین، محققان نقطه ادراک روش تحویل را گام به گام تشریح کردند و دریافتند که مانند خود RAT، محموله پشت مشروعیت پنهان می شود در تلاش برای پرواز زیر رادار.
به طور خاص، Perceptive Point مسیر بازگشت و شناسه پیام ایمیلهای فیشینگ را با مشاهده استفاده مهاجمان از «تجزیه و تحلیل کرد.SendInBlue” یا سرویس Brevo. Brevo یک پلت فرم تحویل ایمیل قانونی است که خدماتی را برای کمپین های بازاریابی ارائه می دهد.
دیویدپور نوشت: «این انتخاب بر ترجیح مهاجمان برای استفاده از سرویسهای معتبر برای پنهان کردن نیت مخرب خود تأکید میکند.
اجتناب از سازش
از آنجایی که PhantomBlu از ایمیل به عنوان روش خود برای ارائه بدافزار استفاده می کند، تکنیک های معمول برای جلوگیری از سازش - مانند آموزش و آموزش کارکنان در مورد نحوه شناسایی و گزارش ایمیل های بالقوه مخرب — اعمال کنید.
به گفته کارشناسان، به عنوان یک قاعده کلی، افراد هرگز نباید روی پیوستهای ایمیل کلیک کنند، مگر اینکه از یک منبع قابل اعتماد یا شخصی باشند که کاربران مرتباً با او در ارتباط هستند. علاوه بر این، کاربران شرکتی به خصوص باید پیام های مشکوک را به مدیران فناوری اطلاعات گزارش دهند، زیرا ممکن است نشانه هایی از یک کمپین مخرب را نشان دهند.
برای کمک بیشتر به ادمین ها در شناسایی PhantomBlu، Perceptive Point لیست جامعی از TTP ها، شاخص های سازش (IOC)، URL ها و نام هاست، و آدرس های IP مرتبط با کمپین را در پست وبلاگ گنجاند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :است
- $UP
- 7
- a
- درباره ما
- دسترسی
- دسترسی
- مطابق
- حسابداری (Accounting)
- بازیگران
- واقعا
- آدرس
- حکومت
- مدیران
- پیشرفته
- معرفی
- اجازه می دهد تا
- an
- تجزیه و تحلیل
- و
- درخواست
- AS
- همکاری
- مرتبط است
- At
- حمله
- اجتناب از
- اجتناب از
- درپشتی
- قبل از
- رفتار
- پشت سر
- مخلوط
- بلاگ
- by
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- گرفتن
- انتخاب
- کلیک
- رمز
- بیا
- عموما
- ترکیب
- جامع
- سازش
- محتوا
- کنترل
- معمولی
- شرکت
- ایجاد
- سایبر
- حملات سایبری
- داده ها
- ارائه
- تحویل
- ارائه
- تحویل
- نشان می دهد
- دقیق
- کشف
- دستگاه ها
- مختلف
- مستقیما
- کشف
- سند
- اسناد و مدارک
- دانلود
- دانلود
- دوبله شده
- تلاش
- عناصر
- پست الکترونیک
- ایمیل
- جاسازی شده
- تعبیه کردن
- قادر ساختن
- را قادر می سازد
- رمزگذاری
- نقطه پایانی
- مهندسی
- مهندسی
- به خصوص
- فرار از زندان
- اجرا کردن
- اجرا کردن
- کارشناس
- کارشناسان
- توضیح داده شده
- بهره برداری
- بهره برداری
- ویژگی
- پرونده
- فایل ها
- نام خانوادگی
- بار اول
- رد پا
- برای
- از جانب
- بیشتر
- سوالات عمومی
- گراف
- راه
- آیا
- he
- پنهان کردن
- به لحاظ تاریخی
- چگونه
- چگونه
- HTTPS
- صدها نفر
- ID
- شناسایی
- تصویر
- جعل هویت
- in
- مشمول
- نشان دادن
- شاخص ها
- ابداع
- نصب شده
- دستورالعمل
- قصد
- اثر متقابل
- به
- تحقیق
- دعوت
- IP
- آدرس های IP
- IT
- ITS
- خود
- JPG
- مشروعیت
- قانونی
- بهره برداری
- پسندیدن
- ارتباط
- فهرست
- مخرب
- نرم افزارهای مخرب
- دست کاری
- بازار یابی (Marketing)
- ماسک
- ممکن است..
- پیام
- پیام
- روش
- مایکروسافت
- ویندوز مایکروسافت
- مانیتور
- ماهیانه
- بیش
- علاوه بر این
- حرکت
- شبکه
- هرگز
- بدنام
- رمان
- ظریف
- هدف
- اشیاء
- of
- خاموش
- پیشنهادات
- دفتر
- on
- فقط
- or
- سفارش
- سازمان های
- دیگر
- خارج از
- روی
- بسته
- کلمه عبور
- مسیر
- مردم
- ادراک
- فیشینگ
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- پست
- بالقوه
- قبلا
- روش
- روند
- برنامه ها
- منتشر شده
- رادار
- باجافزار
- موش صحرایی
- گرفتن
- به طور منظم
- دور
- گزارش
- نشان دهنده
- مشهور
- محققان
- منابع
- برگشت
- قانون
- s
- حقوق
- گفتن
- تیم امنیت لاتاری
- سرویس
- خدمات
- باید
- نمایش
- نشانه ها
- ساده تر
- آگاهی
- مهندسی اجتماعی
- نرم افزار
- کسی
- مصنوعی
- منبع
- Spot
- چرخید
- مخفی
- گام
- چنین
- پشتیبانی
- نظارت
- مشکوک
- سیستم
- سیستم های
- تاکتیک
- گرفتن
- هدف گذاری
- اهداف
- فنی
- تکنیک
- تکنیک
- قالب
- قالب
- که
- La
- سرقت
- شان
- آنها
- سپس
- آنها
- این
- این هفته
- تهدید
- بازیگران تهدید
- زمان
- به
- ابزار
- سنتی
- انتقال
- تبدیل می شود
- تروجان
- مورد اعتماد
- در نهایت
- زیر
- تأکید
- مگر
- بر
- استفاده کنید
- استفاده
- مفید
- کاربر
- کاربران
- استفاده
- با استفاده از
- معمول
- از طريق
- قربانی
- چشم انداز
- بود
- وب
- امنیت وب
- هفته
- که
- در حین
- پنجره
- با
- در داخل
- بدون
- کلمه
- نوشت
- زفیرنت