Egy rosszindulatú e-mail kampány több száz Microsoft Office-felhasználót céloz meg az egyesült államokbeli székhelyű szervezetekben, hogy a távoli hozzáférésű trójai (RAT) amely elkerüli az észlelést, részben azáltal, hogy legitim szoftverként jelenik meg.
A Perception Point kutatói által „PhantomBlu”-nak nevezett kampányban a támadók egy számviteli szolgáltatást adnak ki e-mail üzenetekben, amelyek felkérik az embereket, hogy töltsenek le egy Microsoft Office Word fájlt, állítólag a „havi fizetési jelentésük” megtekintéséhez. A célpontok részletes utasításokat kapnak a jelszóval védett „jelentés” fájl eléréséhez, amely végül eljuttatja a hírhedt NetSupport RAT, rosszindulatú programok válnak le a legitim NetSupport Manager, egy jogszerűen hasznos távoli technikai támogatási eszköz. A fenyegetés szereplői korábban a RAT segítségével nyomon követték a rendszereket, mielőtt ransomware-t szállítottak volna rájuk.
„Lopakodó megfigyelésre és vezérlésre tervezve a távoli adminisztrációt számítógépes támadások és adatlopások platformjává alakítja át” – mondta Ariel Davidpur, a Perception Point webbiztonsági szakértője. kiderült a héten megjelent blogbejegyzésben.
Miután telepítették az áldozat végpontjára, a NetSupport figyelheti a viselkedést, rögzítheti a billentyűleütéseket, átvihet fájlokat, átveheti a rendszer erőforrásait, és a hálózaton belül más eszközökre költözhet, mindezt „egy jóindulatú távoli támogatási szoftver leple alatt” – írta.
A NetSupport RAT Evasive OLE kézbesítési módszere
A kampány a NetSupport RAT új kézbesítési módszerét képviseli az Object Linking and Embedding (OLE) sablonok manipulálásával. Ez egy „árnyalt kihasználási módszer”, amely legitim Microsoft Office dokumentumsablonokat használ a rosszindulatú kód futtatására, miközben elkerüli az észlelést, írta Davidpur.
Ha a felhasználó letölti a kampány üzeneteihez csatolt.docx fájlt és a hozzá tartozó jelszót használja a hozzáféréshez, akkor a dokumentum tartalma tovább utasítja a célszemélyeket, hogy kattintson a „szerkesztés engedélyezése” gombra, majd kattintson a dokumentumba beágyazott nyomtató képére. hogy megtekinthesse a „fizetési grafikonját”.
A nyomtatókép valójában egy OLE-csomag, a Microsoft Windows legális funkciója, amely lehetővé teszi a dokumentumok és egyéb objektumok beágyazását és hivatkozását. „Jogszerű használata lehetővé teszi a felhasználók számára, hogy összetett dokumentumokat hozzanak létre különböző programok elemeivel” – írta Davidpur.
Az OLE-sablon-manipuláció révén a fenyegetés szereplői a dokumentumsablonokat kihasználva rosszindulatú kódot hajtanak végre észlelés nélkül azáltal, hogy elrejtik a hasznos tartalmat a dokumentumon kívül. A kampány az első alkalom, hogy ezt a folyamatot használták e-mailben a NetSupport RAT kézbesítésére, a Perceptive Point szerint.
"Ez a fejlett technika megkerüli a hagyományos biztonsági rendszereket azáltal, hogy elrejti a rosszindulatú rakományt a dokumentumon kívül, és csak a felhasználói interakció után hajtja végre" - magyarázta Davidpur.
Valójában azáltal, hogy titkosított .doc fájlokat használnak a NetSupport RAT OLE sablonon és sabloninjektáláson (CWE T1221) keresztül történő továbbítására, a PhantomBlu kampány eltér a NetSupporttal általában társított hagyományos taktikáktól, technikáktól és eljárásoktól (TTP). RAT telepítések.
"Történelmileg az ilyen kampányok közvetlenül a futtatható fájlokra és az egyszerűbb adathalász technikákra támaszkodtak" - írta Davidpur. Az OLE-módszer bemutatja a kampány innovációját, amely a „kifinomult kijátszási taktikák és a társadalmi tervezés ötvözete” – írta.
A legitimitás mögé bújva
A kampány vizsgálata során a Perception Point kutatói lépésről lépésre boncolgatták a szállítási módot, és felfedezték, hogy akárcsak maga a RAT, úgy a hasznos teher legitimáció mögé bújik annak érdekében, hogy a radar alá repüljön.
Pontosabban, a Perceptive Point elemezte az adathalász e-mailek visszatérési útvonalát és üzenetazonosítóját, megfigyelve, hogy a támadók hogyan használják a „SendInBlue” vagy Brevo szervizben. A Brevo egy legitim e-mail kézbesítési platform, amely marketingkampányokhoz kínál szolgáltatásokat.
„Ez a választás alátámasztja, hogy a támadók jó hírű szolgáltatásokat preferálnak rosszindulatú szándékaik elfedésére” – írta Davidpur.
A kompromisszum elkerülése
Mivel a PhantomBlu az e-mailt használja rosszindulatú programok kézbesítésének módszereként, a szokásos technikák a kompromisszumok elkerülésére – mint például az utasítások és alkalmazottak képzése az esetlegesen rosszindulatú e-mailek észleléséről és bejelentéséről – jelentkezzen.
Általános szabály, hogy az emberek soha ne kattintsanak az e-mail mellékletekre, kivéve, ha azok megbízható forrásból származnak, vagy olyan személytől, akivel a felhasználók rendszeresen leveleznek. Sőt, különösen a vállalati felhasználóknak kell jelenteniük a gyanús üzeneteket az informatikai rendszergazdáknak, mivel ezek rosszindulatú kampányra utalhatnak.
A PhantomBlu azonosításában az adminisztrátorok további segítése érdekében a Perceptive Point a TTP-k, a kompromisszumjelzők (IOC-k), az URL-ek és a gazdagépnevek, valamint a kampányhoz kapcsolódó IP-címek átfogó listáját tartalmazza a blogbejegyzésben.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :is
- $ UP
- 7
- a
- Rólunk
- hozzáférés
- Hozzáférés
- Szerint
- számvitel
- szereplők
- tulajdonképpen
- címek
- igazgatás
- adminisztrátorok
- fejlett
- Minden termék
- lehetővé teszi, hogy
- an
- elemzett
- és a
- alkalmaz
- AS
- segít
- társult
- At
- Támadások
- elkerülése érdekében
- elkerülve
- hátsó ajtó
- előtt
- viselkedés
- mögött
- Keverék
- Blog
- by
- Kampány
- Kampányok
- TUD
- elfog
- választás
- kettyenés
- kód
- hogyan
- általában
- Összetett
- átfogó
- kompromisszum
- tartalom
- ellenőrzés
- hagyományos
- Társasági
- teremt
- cyber
- Cyber Attackek
- dátum
- szállít
- átadó
- szállít
- kézbesítés
- mutatja
- részletes
- Érzékelés
- Eszközök
- különböző
- közvetlenül
- felfedezése
- dokumentum
- dokumentumok
- letöltés
- letöltések
- szinkronizált
- erőfeszítés
- elemek
- e-mailek
- beágyazott
- beágyazás
- lehetővé
- lehetővé teszi
- titkosított
- Endpoint
- manipulált
- Mérnöki
- különösen
- adócsalás
- kivégez
- végrehajtó
- szakértő
- szakértők
- magyarázható
- Exploit
- kizsákmányolás
- Funkció
- filé
- Fájlok
- vezetéknév
- első
- Lábnyom
- A
- ból ből
- további
- általános
- grafikon
- út
- Legyen
- he
- bujkál
- történelmileg
- Hogyan
- How To
- HTTPS
- Több száz
- ID
- azonosító
- kép
- megszemélyesít
- in
- beleértve
- jelez
- mutatók
- Innováció
- telepítve
- utasítás
- A szándék
- kölcsönhatás
- bele
- vizsgálat
- meghívni
- IP
- IP-címeket
- IT
- ITS
- maga
- jpg
- törvényesség
- jogos
- erőfölény
- mint
- Összekapcsolása
- Lista
- rosszindulatú
- malware
- Manipuláció
- Marketing
- maszk
- Lehet..
- üzenet
- üzenetek
- módszer
- microsoft
- Microsoft Windows
- monitor
- havi
- több
- Ráadásul
- mozog
- hálózat
- soha
- hirhedt
- regény
- árnyalt
- tárgy
- objektumok
- of
- kedvezmény
- Ajánlatok
- Office
- on
- csak
- or
- érdekében
- szervezetek
- Más
- kívül
- felett
- csomag
- Jelszó
- ösvény
- Emberek (People)
- észlelés
- Adathalászat
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- állás
- potenciálisan
- korábban
- eljárások
- folyamat
- Programok
- közzétett
- radar
- ransomware
- PATKÁNY
- kap
- rendszeresen
- távoli
- jelentést
- jelentése
- jó hírű
- kutatók
- Tudástár
- visszatérés
- Szabály
- s
- fizetés
- azt mondják
- biztonság
- szolgáltatás
- Szolgáltatások
- kellene
- mutató
- Jelek
- egyszerűbb
- Közösség
- Szociális tervezés
- szoftver
- Valaki
- kifinomult
- forrás
- Spot
- fonott
- titkos
- Lépés
- ilyen
- támogatás
- felügyelet
- gyanús
- rendszer
- Systems
- taktika
- Vesz
- célzás
- célok
- Műszaki
- technika
- technikák
- sablon
- sablonok
- hogy
- A
- lopás
- azok
- Őket
- akkor
- ők
- ezt
- ezen a héten
- fenyegetés
- fenyegetés szereplői
- idő
- nak nek
- szerszám
- hagyományos
- átruházás
- transzformáció
- trójai
- Megbízható
- Végül
- alatt
- aláhúzás
- hacsak nem
- upon
- használ
- használt
- hasznos
- használó
- Felhasználók
- használ
- segítségével
- szokásos
- keresztül
- Áldozat
- Megnézem
- volt
- háló
- Webes biztonság
- hét
- ami
- míg
- ablakok
- val vel
- belül
- nélkül
- szó
- írt
- zephyrnet