A „PhantomBlu” számítógépes támadók az OLE-n keresztül biztosítják a Microsoft Office-felhasználók hátsó ajtóját

Egy rosszindulatú e-mail kampány több száz Microsoft Office-felhasználót céloz meg az egyesült államokbeli székhelyű szervezetekben, hogy a távoli hozzáférésű trójai (RAT) amely elkerüli az észlelést, részben azáltal, hogy legitim szoftverként jelenik meg.

A Perception Point kutatói által „PhantomBlu”-nak nevezett kampányban a támadók egy számviteli szolgáltatást adnak ki e-mail üzenetekben, amelyek felkérik az embereket, hogy töltsenek le egy Microsoft Office Word fájlt, állítólag a „havi fizetési jelentésük” megtekintéséhez. A célpontok részletes utasításokat kapnak a jelszóval védett „jelentés” fájl eléréséhez, amely végül eljuttatja a hírhedt NetSupport RAT, rosszindulatú programok válnak le a legitim NetSupport Manager, egy jogszerűen hasznos távoli technikai támogatási eszköz. A fenyegetés szereplői korábban a RAT segítségével nyomon követték a rendszereket, mielőtt ransomware-t szállítottak volna rájuk.

„Lopakodó megfigyelésre és vezérlésre tervezve a távoli adminisztrációt számítógépes támadások és adatlopások platformjává alakítja át” – mondta Ariel Davidpur, a Perception Point webbiztonsági szakértője. kiderült a héten megjelent blogbejegyzésben.

Miután telepítették az áldozat végpontjára, a NetSupport figyelheti a viselkedést, rögzítheti a billentyűleütéseket, átvihet fájlokat, átveheti a rendszer erőforrásait, és a hálózaton belül más eszközökre költözhet, mindezt „egy jóindulatú távoli támogatási szoftver leple alatt” – írta.

A NetSupport RAT Evasive OLE kézbesítési módszere

A kampány a NetSupport RAT új kézbesítési módszerét képviseli az Object Linking and Embedding (OLE) sablonok manipulálásával. Ez egy „árnyalt kihasználási módszer”, amely legitim Microsoft Office dokumentumsablonokat használ a rosszindulatú kód futtatására, miközben elkerüli az észlelést, írta Davidpur. 

Ha a felhasználó letölti a kampány üzeneteihez csatolt.docx fájlt és a hozzá tartozó jelszót használja a hozzáféréshez, akkor a dokumentum tartalma tovább utasítja a célszemélyeket, hogy kattintson a „szerkesztés engedélyezése” gombra, majd kattintson a dokumentumba beágyazott nyomtató képére. hogy megtekinthesse a „fizetési grafikonját”.

A nyomtatókép valójában egy OLE-csomag, a Microsoft Windows legális funkciója, amely lehetővé teszi a dokumentumok és egyéb objektumok beágyazását és hivatkozását. „Jogszerű használata lehetővé teszi a felhasználók számára, hogy összetett dokumentumokat hozzanak létre különböző programok elemeivel” – írta Davidpur.

Az OLE-sablon-manipuláció révén a fenyegetés szereplői a dokumentumsablonokat kihasználva rosszindulatú kódot hajtanak végre észlelés nélkül azáltal, hogy elrejtik a hasznos tartalmat a dokumentumon kívül. A kampány az első alkalom, hogy ezt a folyamatot használták e-mailben a NetSupport RAT kézbesítésére, a Perceptive Point szerint.

"Ez a fejlett technika megkerüli a hagyományos biztonsági rendszereket azáltal, hogy elrejti a rosszindulatú rakományt a dokumentumon kívül, és csak a felhasználói interakció után hajtja végre" - magyarázta Davidpur.

Valójában azáltal, hogy titkosított .doc fájlokat használnak a NetSupport RAT OLE sablonon és sabloninjektáláson (CWE T1221) keresztül történő továbbítására, a PhantomBlu kampány eltér a NetSupporttal általában társított hagyományos taktikáktól, technikáktól és eljárásoktól (TTP). RAT telepítések.

"Történelmileg az ilyen kampányok közvetlenül a futtatható fájlokra és az egyszerűbb adathalász technikákra támaszkodtak" - írta Davidpur. Az OLE-módszer bemutatja a kampány innovációját, amely a „kifinomult kijátszási taktikák és a társadalmi tervezés ötvözete” – írta.

A legitimitás mögé bújva

A kampány vizsgálata során a Perception Point kutatói lépésről lépésre boncolgatták a szállítási módot, és felfedezték, hogy akárcsak maga a RAT, úgy a hasznos teher legitimáció mögé bújik annak érdekében, hogy a radar alá repüljön.

Pontosabban, a Perceptive Point elemezte az adathalász e-mailek visszatérési útvonalát és üzenetazonosítóját, megfigyelve, hogy a támadók hogyan használják a „SendInBlue” vagy Brevo szervizben. A Brevo egy legitim e-mail kézbesítési platform, amely marketingkampányokhoz kínál szolgáltatásokat.

„Ez a választás alátámasztja, hogy a támadók jó hírű szolgáltatásokat preferálnak rosszindulatú szándékaik elfedésére” – írta Davidpur.

A kompromisszum elkerülése

Mivel a PhantomBlu az e-mailt használja rosszindulatú programok kézbesítésének módszereként, a szokásos technikák a kompromisszumok elkerülésére – mint például az utasítások és alkalmazottak képzése az esetlegesen rosszindulatú e-mailek észleléséről és bejelentéséről – jelentkezzen.

Általános szabály, hogy az emberek soha ne kattintsanak az e-mail mellékletekre, kivéve, ha azok megbízható forrásból származnak, vagy olyan személytől, akivel a felhasználók rendszeresen leveleznek. Sőt, különösen a vállalati felhasználóknak kell jelenteniük a gyanús üzeneteket az informatikai rendszergazdáknak, mivel ezek rosszindulatú kampányra utalhatnak.

A PhantomBlu azonosításában az adminisztrátorok további segítése érdekében a Perceptive Point a TTP-k, a kompromisszumjelzők (IOC-k), az URL-ek és a gazdagépnevek, valamint a kampányhoz kapcsolódó IP-címek átfogó listáját tartalmazza a blogbejegyzésben.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole