"PhantomBlu" kyberhyökkääjät takaoven Microsoft Office -käyttäjät OLE:n kautta

Haitallinen sähköpostikampanja on kohdistettu satoihin Microsoft Office -käyttäjiin yhdysvaltalaisissa organisaatioissa toimittamaan a etäkäyttö troijalainen (RAT) joka välttää havaitsemisen, osittain näyttämällä laillisena ohjelmistona.

Perception Pointin tutkijoiden PhantomBluksi kutsumassa kampanjassa hyökkääjät esittävät kirjanpitopalvelua sähköpostiviesteissä, jotka kutsuvat ihmisiä lataamaan Microsoft Office Word -tiedoston, jonka väitetään katsovan "kuukausipalkkaraporttiaan". Kohteet saavat yksityiskohtaiset ohjeet salasanalla suojatun "raportti"-tiedoston käyttämiseksi, mikä lopulta toimittaa pahamaineisen NetSupport RAT, haittaohjelmat erosivat laillisista NetSupport Manager, laillisesti hyödyllinen teknisen etätukityökalu. Uhkatoimijat ovat aiemmin käyttäneet RAT:ia jäljittääkseen järjestelmiä ennen kiristysohjelmien toimittamista niihin.

"Se on suunniteltu salaiseen valvontaan ja valvontaan, ja se muuttaa etähallinnan alustaksi kyberhyökkäyksiä ja tietovarkauksia varten", Perception Pointin verkkoturva-asiantuntija Ariel Davidpur paljasti tällä viikolla julkaistussa blogikirjoituksessa.

Kun NetSupport on asennettu uhrin päätepisteeseen, se voi seurata käyttäytymistä, kaapata näppäinpainalluksia, siirtää tiedostoja, ottaa haltuunsa järjestelmäresursseja ja siirtyä muihin laitteisiin verkossa "hyvänlaatuisen etätukiohjelmiston varjolla", hän kirjoitti.

NetSupport RATin Evasive OLE -toimitusmenetelmä

Kampanja edustaa uutta toimitustapaa NetSupport RAT:lle Object Linking and Embedding (OLE) -malleja manipuloimalla. Se on "vivahteikas hyödyntämismenetelmä", joka käyttää laillisia Microsoft Office -asiakirjamalleja haitallisen koodin suorittamiseen välttäen havaitsemista, Davidpur kirjoitti. 

Jos käyttäjä lataa kampanjan viesteihin liitetyn.docx-tiedoston ja käyttää sen mukana tulevaa salasanaa, asiakirjan sisältö kehottaa lisäksi kohteita napsauttamaan "salli muokkaus" ja napsauttamalla sitten asiakirjaan upotettua tulostimen kuvaa nähdäkseen heidän "palkkakaavionsa".

Tulostinkuva on itse asiassa OLE-paketti, Microsoft Windowsin laillinen ominaisuus, joka mahdollistaa asiakirjojen ja muiden objektien upotamisen ja linkittämisen. "Sen laillinen käyttö antaa käyttäjille mahdollisuuden luoda yhdistelmädokumentteja eri ohjelmien elementeistä", Davidpur kirjoitti.

OLE-mallien manipuloinnin avulla uhkatekijät käyttävät asiakirjamalleja suorittaakseen haitallista koodia ilman havaitsemista piilottamalla hyötykuorman asiakirjan ulkopuolelle. Kampanja on ensimmäinen kerta, kun tätä prosessia käytettiin sähköpostissa NetSupport RATin toimittamiseen Perceptive Pointin mukaan.

"Tämä kehittynyt tekniikka ohittaa perinteiset turvajärjestelmät piilottamalla haitallisen hyötykuorman asiakirjan ulkopuolelle, ja se suoritetaan vain käyttäjän vuorovaikutuksessa", Davidpur selitti.

Itse asiassa, käyttämällä salattuja .doc-tiedostoja NetSupport RAT:n toimittamiseen OLE-mallin ja mallin lisäyksen (CWE T1221) kautta, PhantomBlu-kampanja poikkeaa tavanomaisista taktiikoista, tekniikoista ja menettelyistä (TTP), joita yleisesti käytetään NetSupportissa. RAT-asennukset.

"Historiallisesti tällaiset kampanjat ovat tukeutuneet suoremmin suoritettaviin tiedostoihin ja yksinkertaisempiin tietojenkalastelutekniikoihin", Davidpur kirjoitti. OLE-menetelmä osoittaa kampanjan innovaation yhdistää "hienotettuja kiertotaktiikoita sosiaaliseen suunnitteluun", hän kirjoitti.

Piilossa laillisuuden taakse

Kampanjaa koskevissa tutkimuksissaan Perception Point -tutkijat erottelivat toimitustapaa askel askeleelta ja havaitsivat, että kuten RAT itse, hyötykuorma piiloutuu legitiimiyden taakse yrittäessään lentää tutkan alle.

Tarkemmin sanottuna Perceptive Point analysoi tietojenkalasteluviestien paluupolun ja viestitunnuksen ja havaitsi, kuinka hyökkääjät käyttivätSendInBlue” tai Brevo-palvelua. Brevo on laillinen sähköpostin jakelualusta, joka tarjoaa palveluita markkinointikampanjoihin.

"Tämä valinta korostaa hyökkääjien mieltymystä hyödyntää hyvämaineisia palveluita haitallisten aikeidensa peittämiseksi", Davidpur kirjoitti.

Vältetään kompromissia

Koska PhantomBlu käyttää sähköpostia haittaohjelmien toimitustapana, tavanomaiset tekniikat kompromissien välttämiseksi – kuten ohjeistus ja kouluttaa työntekijöitä kuinka havaita mahdolliset haitalliset sähköpostit ja ilmoittaa niistä – hae.

Yleissääntönä on, että ihmisten ei tulisi koskaan klikata sähköpostin liitteitä, elleivät ne ole peräisin luotettavasta lähteestä tai henkilöltä, jonka kanssa käyttäjät ovat säännöllisesti yhteydessä, asiantuntijat sanovat. Lisäksi erityisesti yrityskäyttäjien tulee ilmoittaa epäilyttävistä viesteistä IT-ylläpitäjille, koska ne voivat viitata haitalliseen kampanjaan.

Auttaakseen järjestelmänvalvojia edelleen PhantomBlun tunnistamisessa Perceptive Point lisäsi blogikirjoitukseen kattavan luettelon TTP:istä, kompromissin osoittimista (IOC), URL-osoitteista ja isäntänimistä sekä IP-osoitteista, jotka liittyvät kampanjaan.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole