En ondsinnet e-postkampanje er rettet mot hundrevis av Microsoft Office-brukere i USA-baserte organisasjoner for å levere en fjerntilgang trojaner (RAT) som unngår gjenkjenning, delvis ved å vises som legitim programvare.
I en kampanje kalt "PhantomBlu" av forskere ved Perception Point, utgir angripere seg som en regnskapstjeneste i e-postmeldinger som inviterer folk til å laste ned en Microsoft Office Word-fil, angivelig for å se deres "månedlige lønnsrapport." Mål mottar detaljerte instruksjoner for tilgang til den passordbeskyttede "rapport"-filen, som til slutt leverer den beryktede NetSupport RAT, malware spunnet av fra den legitime NetSupport Manager, et legitimt nyttig eksternt teknisk støtteverktøy. Trusselaktører har tidligere brukt RAT til footprint-systemer før de leverte løsepengevare på dem.
"Konstruert for snikende overvåking og kontroll, forvandler den ekstern administrasjon til en plattform for cyberangrep og datatyveri," Perception Points nettsikkerhetsekspert Ariel Davidpur avslørt i et blogginnlegg publisert denne uken.
Når den er installert på et offers endepunkt, kan NetSupport overvåke atferd, fange opp tastetrykk, overføre filer, overta systemressurser og flytte til andre enheter i nettverket, "alt under dekke av en godartet fjernstøtteprogramvare," skrev han.
NetSupport RATs unnvikende OLE-leveringsmetode
Kampanjen representerer en ny leveringsmetode for NetSupport RAT via manipulering av OLE-maler (Object Linking and Embedding). Det er en "nyansert utnyttelsesmetode" som bruker legitime Microsoft Office-dokumentmaler for å kjøre ondsinnet kode mens den unngår oppdagelse, skrev Davidpur.
Hvis en bruker laster ned.docx-filen vedlagt kampanjens meldinger og bruker det medfølgende passordet for å få tilgang til det, instruerer innholdet i dokumentet videre mål om å klikke på «aktiver redigering» og deretter klikke på bildet av en skriver som er innebygd i dokumentet i for å se deres "lønnsgraf".
Skriverbildet er faktisk en OLE-pakke, en legitim funksjon i Microsoft Windows som tillater innebygging og kobling til dokumenter og andre objekter. "Den legitime bruken gjør det mulig for brukere å lage sammensatte dokumenter med elementer fra forskjellige programmer," skrev Davidpur.
Via OLE-malmanipulering utnytter trusselaktørene dokumentmaler for å utføre ondsinnet kode uten deteksjon ved å skjule nyttelasten utenfor dokumentet. Kampanjen er første gang denne prosessen ble brukt i en e-post til levering av NetSupport RAT, ifølge Perceptive Point.
"Denne avanserte teknikken omgår tradisjonelle sikkerhetssystemer ved å skjule den ondsinnede nyttelasten utenfor dokumentet, og utføres kun ved brukerinteraksjon," forklarte Davidpur.
Faktisk, ved å bruke krypterte .doc-filer for å levere NetSupport RAT via OLE-mal og malinjeksjon (CWE T1221), avviker PhantomBlu-kampanjen fra de konvensjonelle taktikkene, teknikkene og prosedyrene (TTP-er) som vanligvis er knyttet til NetSupport RAT-utplasseringer.
"Historisk sett har slike kampanjer vært mer direkte avhengige av kjørbare filer og enklere phishing-teknikker," skrev Davidpur. OLE-metoden demonstrerer kampanjens innovasjon for å blande "sofistikert unnvikelsestaktikk med sosial ingeniørkunst," skrev han.
Skjuler seg bak legitimitet
I sin undersøkelse av kampanjen dissekerte Perception Point-forskerne leveringsmetoden trinn for trinn, og oppdaget at nyttelasten, i likhet med RAT selv, skjuler seg bak legitimitet i et forsøk på å fly under radaren.
Spesifikt analyserte Perceptive Point returbanen og meldings-IDen til phishing-e-postene, og observerte angripernes bruk av "SendInBlue” eller Brevo-tjeneste. Brevo er en legitim e-postleveringsplattform som tilbyr tjenester for markedsføringskampanjer.
"Dette valget understreker angripernes preferanse for å utnytte anerkjente tjenester for å maskere deres ondsinnede hensikter," skrev Davidpur.
Unngå kompromisser
Siden PhantomBlu bruker e-post som sin metode for å levere skadelig programvare, er de vanlige teknikkene for å unngå kompromisser – for eksempel instruksjon og opplæring av ansatte om hvordan du oppdager og rapporterer potensielt skadelige e-poster – søk.
Som en generell regel bør folk aldri klikke på e-postvedlegg med mindre de kommer fra en pålitelig kilde eller noen som brukere korresponderer med regelmessig, sier eksperter. Dessuten bør spesielt bedriftsbrukere rapportere mistenkelige meldinger til IT-administratorer, da de kan indikere tegn på en ondsinnet kampanje.
For ytterligere å hjelpe administratorer med å identifisere PhantomBlu, inkluderte Perceptive Point en omfattende liste over TTP-er, kompromissindikatorer (IOC), URL-er og vertsnavn og IP-adresser knyttet til kampanjen i blogginnlegget.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :er
- $OPP
- 7
- a
- Om oss
- adgang
- Tilgang
- Ifølge
- Regnskap og administrasjon
- aktører
- faktisk
- adresser
- administrasjon
- administratorer
- avansert
- Alle
- tillater
- an
- analysert
- og
- Påfør
- AS
- bistå
- assosiert
- At
- Angrep
- unngå
- unngå
- backdoor
- før du
- atferd
- bak
- Blend
- Blogg
- by
- Kampanje
- Kampanjer
- CAN
- fangst
- valg
- klikk
- kode
- Kom
- vanligvis
- Compound
- omfattende
- kompromiss
- innhold
- kontroll
- konvensjonell
- Bedriftens
- skape
- cyber
- Cyber Attacks
- dato
- leverer
- levere
- leverer
- levering
- demonstrerer
- detaljert
- Gjenkjenning
- Enheter
- forskjellig
- direkte
- oppdage
- dokument
- dokumenter
- nedlasting
- nedlastinger
- dubbet
- innsats
- elementer
- emalje
- e-post
- innebygd
- embedding
- muliggjøre
- muliggjør
- kryptert
- Endpoint
- konstruert
- Ingeniørarbeid
- spesielt
- unnvikelse
- henrette
- utførende
- Expert
- eksperter
- forklarte
- Exploit
- utnytting
- Trekk
- filet
- Filer
- Først
- første gang
- Fotspor
- Til
- fra
- videre
- general
- graf
- måte
- Ha
- he
- skjule
- historisk
- Hvordan
- Hvordan
- HTTPS
- Hundrevis
- ID
- identifisering
- bilde
- ligne
- in
- inkludert
- indikerer
- indikatorer
- Innovasjon
- installerte
- instruksjoner
- hensikt
- interaksjon
- inn
- etterforskning
- invitere
- IP
- IP-adresser
- IT
- DET ER
- selv
- jpg
- legitimitet
- legitim
- utnytte
- i likhet med
- linking
- Liste
- skadelig
- malware
- Manipulasjon
- Marketing
- maske
- Kan..
- melding
- meldinger
- metode
- Microsoft
- Microsoft Windows
- Overvåke
- månedlig
- mer
- Videre
- flytte
- nettverk
- aldri
- notorisk
- roman
- nyansert
- objekt
- gjenstander
- of
- off
- Tilbud
- Office
- on
- bare
- or
- rekkefølge
- organisasjoner
- Annen
- utenfor
- enn
- pakke
- Passord
- banen
- Ansatte
- persepsjon
- phishing
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Point
- Post
- potensielt
- tidligere
- prosedyrer
- prosess
- programmer
- publisert
- radar
- ransomware
- ROTTE
- motta
- regelmessig
- fjernkontroll
- rapporterer
- representerer
- hederlig
- forskere
- Ressurser
- retur
- Regel
- s
- lønn
- sier
- sikkerhet
- tjeneste
- Tjenester
- bør
- viser
- Skilt
- enklere
- selskap
- Sosialteknikk
- Software
- Noen
- sofistikert
- kilde
- Spot
- spunnet
- stealthy
- Trinn
- slik
- støtte
- overvåking
- mistenkelig
- system
- Systemer
- taktikk
- Ta
- rettet mot
- mål
- Teknisk
- teknikk
- teknikker
- mal
- maler
- Det
- De
- tyveri
- deres
- Dem
- deretter
- de
- denne
- denne uka
- trussel
- trusselaktører
- tid
- til
- verktøy
- tradisjonelle
- overføre
- transforme
- Trojan
- klarert
- Til syvende og sist
- etter
- understreker
- med mindre
- upon
- bruke
- brukt
- nyttig
- Bruker
- Brukere
- bruker
- ved hjelp av
- vanlig
- av
- Offer
- Se
- var
- web
- Web Security
- uke
- hvilken
- mens
- vinduer
- med
- innenfor
- uten
- ord
- skrev
- zephyrnet