'PhantomBlu' 사이버 공격자들, OLE를 통해 Microsoft Office 사용자 백도어 공격

악성 이메일 캠페인은 미국 기반 조직의 수백 명의 Microsoft Office 사용자를 표적으로 삼아 RAT(원격 액세스 트로이 목마) 부분적으로 합법적인 소프트웨어로 나타나 탐지를 회피합니다.

Perception Point의 연구원들이 "PhantomBlu"라고 명명한 캠페인에서 공격자들은 "월 급여 보고서"를 보기 위해 Microsoft Office Word 파일을 다운로드하도록 사람들을 초대하는 이메일 메시지에서 회계 서비스를 가장합니다. 대상은 비밀번호로 보호된 "보고서" 파일에 액세스하기 위한 자세한 지침을 수신하며, 이는 궁극적으로 악명 높은 정보를 제공합니다. 넷서포트 RAT, 합법적인 악성 코드에서 분리된 악성 코드 NetSupport 관리자, 합법적으로 유용한 원격 기술 지원 도구입니다. 위협 행위자들은 이전에 RAT를 사용하여 시스템에 랜섬웨어를 배포하기 전에 시스템에 발자국을 남겼습니다.

Perception Point 웹 보안 전문가 Ariel Davidpur는 "은밀한 감시 및 제어를 위해 설계되어 원격 관리를 사이버 공격 및 데이터 도난을 위한 플랫폼으로 전환합니다."라고 말했습니다. 공개 이번 주에 게시된 블로그 게시물에서.

피해자의 엔드포인트에 설치되면 NetSupport는 동작을 모니터링하고, 키 입력을 캡처하고, 파일을 전송하고, 시스템 리소스를 점유하고, 네트워크 내의 다른 장치로 이동할 수 있으며 "모두 양성 원격 지원 소프트웨어로 가장하여" 그는 썼습니다.

NetSupport RAT의 회피형 OLE 전달 방법

이 캠페인은 OLE(Object Linking and Embedding) 템플릿 조작을 통한 NetSupport RAT의 새로운 전달 방법을 나타냅니다. Davidpur는 이는 적법한 Microsoft Office 문서 템플릿을 사용하여 탐지를 피하면서 악성 코드를 실행하는 "미묘한 악용 방법"이라고 썼습니다. 

사용자가 캠페인 메시지에 첨부된 .docx 파일을 다운로드하고 함께 제공되는 비밀번호를 사용하여 이에 액세스하는 경우, 문서의 내용은 대상에게 "편집 활성화"를 클릭한 다음 문서에 포함된 프린터 이미지를 클릭하도록 추가로 지시합니다. '연봉 그래프'를 보려면

프린터 이미지는 실제로 문서 및 기타 개체를 포함하고 연결할 수 있는 Microsoft Windows의 합법적인 기능인 OLE 패키지입니다. Davidpur는 “합법적인 사용을 통해 사용자는 다양한 프로그램의 요소로 복합 문서를 만들 수 있습니다.”라고 썼습니다.

위협 행위자는 OLE 템플릿 조작을 통해 문서 템플릿을 악용하여 문서 외부에 페이로드를 숨겨 탐지 없이 악성 코드를 실행합니다. Perceptive Point에 따르면 이 캠페인은 NetSupport RAT를 전달하기 위해 이메일에서 이 프로세스가 처음으로 사용되었습니다.

Davidpur는 “이 고급 기술은 문서 외부에 악성 페이로드를 숨겨 기존 보안 시스템을 우회하고 사용자 상호 작용 시에만 실행됩니다.”라고 설명했습니다.

실제로 PhantomBlu 캠페인은 암호화된 .doc 파일을 사용하여 OLE 템플릿 및 템플릿 삽입(CWE T1221)을 통해 NetSupport RAT를 전달함으로써 NetSupport와 일반적으로 관련된 기존 전술, 기술 및 절차(TTP)에서 벗어납니다. RAT 배포.

Davidpur는 “역사적으로 이러한 캠페인은 실행 파일과 단순한 피싱 기술에 더 직접적으로 의존해 왔습니다.”라고 썼습니다. OLE 방법은 "정교한 회피 전술과 사회 공학"을 혼합하는 캠페인의 혁신을 보여줍니다.

합법성 뒤에 숨어

캠페인 조사에서 Perception Point 연구원들은 전달 방법을 단계별로 분석하여 RAT 자체와 마찬가지로 페이로드가 정당성 뒤에 숨어 레이더 아래로 비행하려고 노력합니다.

특히 Perceptive Point는 피싱 이메일의 반송 경로와 메시지 ID를 분석하여 공격자의 "SendInBlue” 또는 Brevo 서비스. Brevo는 마케팅 캠페인을 위한 서비스를 제공하는 합법적인 이메일 전달 플랫폼입니다.

Davidpur는 “이러한 선택은 악의적인 의도를 숨기기 위해 평판이 좋은 서비스를 활용하려는 공격자의 선호를 강조합니다.”라고 썼습니다.

타협하지 않기

PhantomBlu는 맬웨어를 전달하는 방법으로 이메일을 사용하므로, 지시 및 직원 교육 잠재적으로 악성 이메일을 발견하고 보고하는 방법에 대해 알아보고 신청하세요.

전문가들은 일반적으로 신뢰할 수 있는 출처나 사용자가 정기적으로 연락하는 사람이 보낸 이메일 첨부 파일을 제외하고는 절대로 이메일 첨부 파일을 클릭해서는 안 된다고 말합니다. 더욱이 기업 사용자는 특히 악의적인 캠페인의 징후를 나타낼 수 있는 의심스러운 메시지를 IT 관리자에게 보고해야 합니다.

관리자가 PhantomBlu를 식별하는 데 도움을 주기 위해 Perceptive Point는 TTP, IOC(침해 표시기), URL 및 호스트 이름, 블로그 게시물의 캠페인과 관련된 IP 주소의 포괄적인 목록을 포함했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole