Celem złośliwej kampanii e-mailowej są setki użytkowników pakietu Microsoft Office w organizacjach w USA trojan zdalnego dostępu (RAT) który wymyka się wykryciu, częściowo przez to, że pojawia się jako legalne oprogramowanie.
W kampanii nazwanej przez badaczy z Perception Point „PhantomBlu” napastnicy podszywają się pod firmę księgową w wiadomościach e-mail zapraszających ludzi do pobrania pliku programu Microsoft Office Word w celu rzekomo przejrzenia „miesięcznego raportu o zarobkach”. Cele otrzymują szczegółowe instrukcje dotyczące dostępu do chronionego hasłem pliku „raportu”, który ostatecznie dostarcza notorycznego NetSupport RAT, złośliwe oprogramowanie wydzieliło się z legalnego oprogramowania NetSupport Manager, legalnie przydatne narzędzie zdalnej pomocy technicznej. Podmioty zagrażające wykorzystywały już RAT do śledzenia systemów przed dostarczeniem na nie oprogramowania ransomware.
„Zaprojektowany z myślą o ukrytym nadzorze i kontroli, przekształca zdalną administrację w platformę cyberataków i kradzieży danych” – Ariel Davidpur, ekspert ds. bezpieczeństwa Perception Point Web ujawnił w poście na blogu opublikowanym w tym tygodniu.
Po zainstalowaniu na punkcie końcowym ofiary NetSupport może monitorować zachowanie, przechwytywać naciśnięcia klawiszy, przesyłać pliki, przejmować zasoby systemowe i przenosić się na inne urządzenia w sieci „a wszystko pod przykrywką łagodnego oprogramowania do zdalnej pomocy” – napisał.
Metoda wymijającego dostarczania OLE NetSupport RAT
Kampania reprezentuje nowatorską metodę dostarczania NetSupport RAT poprzez manipulację szablonami łączenia i osadzania obiektów (OLE). Jest to „zniuansowana metoda wykorzystania”, która wykorzystuje legalne szablony dokumentów pakietu Microsoft Office w celu wykonania szkodliwego kodu w celu uniknięcia wykrycia, napisał Davidpur.
Jeśli użytkownik pobierze plik .docx załączony do komunikatów kampanii i użyje dołączonego hasła, aby uzyskać do niego dostęp, treść dokumentu dodatkowo instruuje odbiorców, aby kliknęli „włącz edycję”, a następnie kliknęli obraz drukarki osadzony w dokumencie aby zobaczyć ich „wykres wynagrodzeń”.
Obraz drukarki jest w rzeczywistości pakietem OLE, legalną funkcją systemu Microsoft Windows, która umożliwia osadzanie i łączenie dokumentów i innych obiektów. „Jego legalne użycie umożliwia użytkownikom tworzenie złożonych dokumentów zawierających elementy z różnych programów” – napisał Davidpur.
Poprzez manipulację szablonami OLE ugrupowania zagrażające wykorzystują szablony dokumentów do wykonywania złośliwego kodu bez wykrycia, ukrywając ładunek poza dokumentem. Według Perceptive Point jest to pierwsza kampania, w której zastosowano ten proces w wiadomości e-mail mającej na celu dostarczenie NetSupport RAT.
„Ta zaawansowana technika omija tradycyjne systemy bezpieczeństwa, ukrywając szkodliwy ładunek poza dokumentem i uruchamiając się wyłącznie po interakcji użytkownika” – wyjaśnił Davidpur.
Rzeczywiście, wykorzystując zaszyfrowane pliki .doc do dostarczania NetSupport RAT za pośrednictwem szablonu OLE i wstrzykiwania szablonu (CWE T1221), kampania PhantomBlu odchodzi od konwencjonalnych taktyk, technik i procedur (TTP) powszechnie kojarzonych z NetSupport Wdrożenia RAT.
„Historycznie rzecz biorąc, takie kampanie opierały się bardziej bezpośrednio na plikach wykonywalnych i prostszych technikach phishingu” – napisał Davidpur. Metoda OLE pokazuje innowacyjność kampanii polegającą na połączeniu „wyrafinowanej taktyki unikania z inżynierią społeczną” – napisał.
Ukrywanie się za legalnością
Podczas badania kampanii badacze z Perception Point szczegółowo przeanalizowali metodę dostawy i odkryli, że podobnie jak sam RAT, ładunek kryje się za legalnością próbując przelecieć poniżej radaru.
W szczególności firma Perceptive Point przeanalizowała ścieżkę zwrotną i identyfikator wiadomości e-mail typu phishing, obserwując, jak osoby atakujące korzystają z „SendInBlue” lub serwis Brevo. Brevo to legalna platforma dostarczania wiadomości e-mail oferująca usługi w zakresie kampanii marketingowych.
„Ten wybór podkreśla preferencję atakujących do wykorzystywania renomowanych usług w celu zamaskowania swoich złośliwych zamiarów” – napisał Davidpur.
Unikanie kompromisu
Ponieważ PhantomBlu wykorzystuje pocztę elektroniczną jako metodę dostarczania złośliwego oprogramowania, zwykłe techniki pozwalające uniknąć kompromisu — takie jak instruowanie i szkolenie pracowników o tym, jak wykrywać i zgłaszać potencjalnie złośliwe wiadomości e-mail — aplikuj.
Co do zasady, użytkownicy nigdy nie powinni klikać załączników do wiadomości e-mail, chyba że pochodzą one z zaufanego źródła lub od osoby, z którą użytkownicy regularnie korespondują – twierdzą eksperci. Co więcej, szczególnie użytkownicy korporacyjni powinni zgłaszać administratorom IT podejrzane wiadomości, ponieważ mogą one wskazywać na oznaki złośliwej kampanii.
Aby jeszcze bardziej pomóc administratorom w identyfikacji PhantomBlu, Perceptive Point zamieścił w poście na blogu obszerną listę TTP, wskaźników naruszenia bezpieczeństwa (IOC), adresów URL i nazw hostów oraz adresów IP powiązanych z kampanią.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :Jest
- $W GÓRĘ
- 7
- a
- O nas
- dostęp
- Dostęp
- Stosownie
- Księgowość
- aktorzy
- faktycznie
- Adresy
- administracja
- Administratorzy
- zaawansowany
- Wszystkie kategorie
- pozwala
- an
- analizowane
- i
- Aplikuj
- AS
- pomagać
- powiązany
- At
- Ataki
- uniknąć
- unikając
- tylne drzwi
- zanim
- zachowanie
- za
- Mieszanka
- Blog
- by
- Kampania
- Kampanie
- CAN
- zdobyć
- wybór
- kliknij
- kod
- jak
- powszechnie
- Mieszanka
- wszechstronny
- kompromis
- zawartość
- kontrola
- Konwencjonalny
- Korporacyjny
- Stwórz
- cyber
- Ataki komputerowe
- dane
- dostarczyć
- dostarczanie
- dostarcza
- dostawa
- demonstruje
- szczegółowe
- Wykrywanie
- urządzenia
- różne
- bezpośrednio
- odkrywanie
- dokument
- dokumenty
- pobieranie
- pliki do pobrania
- dubbingowane
- wysiłek
- Elementy
- e-maile
- osadzone
- osadzanie
- umożliwiać
- Umożliwia
- szyfrowane
- Punkt końcowy
- zaprojektowane
- Inżynieria
- szczególnie
- uchylanie się
- wykonać
- wykonywania
- ekspert
- eksperci
- wyjaśnione
- Wykorzystać
- eksploatacja
- Cecha
- filet
- Akta
- i terminów, a
- pierwszy raz
- Ślad stopy
- W razie zamówieenia projektu
- od
- dalej
- Ogólne
- wykres
- przebranie
- Have
- he
- ukrywanie
- historycznie
- W jaki sposób
- How To
- HTTPS
- Setki
- ID
- identyfikacja
- obraz
- podszywać się
- in
- włączony
- wskazać
- wskaźniki
- Innowacja
- zainstalowany
- instrukcje
- zamiar
- wzajemne oddziaływanie
- najnowszych
- śledztwo
- zapraszać
- IP
- Adresy IP
- IT
- JEGO
- samo
- jpg
- prawowitość
- prawowity
- lewarowanie
- lubić
- Powiązanie
- Lista
- złośliwy
- malware
- Manipulacja
- Marketing
- maska
- Może..
- wiadomość
- wiadomości
- metoda
- Microsoft
- Microsoft Windows
- monitor
- miesięcznie
- jeszcze
- Ponadto
- ruch
- sieć
- nigdy
- notoryczny
- powieść
- niuansowany
- przedmiot
- obiekty
- of
- poza
- Oferty
- Biurowe
- on
- tylko
- or
- zamówienie
- organizacji
- Inne
- zewnętrzne
- koniec
- pakiet
- Hasło
- ścieżka
- Ludzie
- postrzeganie
- phishing
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- Post
- potencjalnie
- poprzednio
- procedury
- wygląda tak
- Programy
- opublikowany
- radar
- ransomware
- SZCZUR
- otrzymać
- regularnie
- zdalny
- raport
- reprezentuje
- renomowany
- Badacze
- Zasoby
- powrót
- Zasada
- s
- wynagrodzenie
- powiedzieć
- bezpieczeństwo
- usługa
- Usługi
- powinien
- seans
- znaki
- prostsze
- Obserwuj Nas
- Inżynieria społeczna
- Tworzenie
- Ktoś
- wyrafinowany
- Źródło
- Spot
- uprzedzony
- potajemny
- Ewolucja krok po kroku
- taki
- wsparcie
- inwigilacja
- podejrzliwy
- system
- systemy
- taktyka
- Brać
- kierowania
- cele
- Techniczny
- technika
- Techniki
- szablon
- Szablony
- że
- Połączenia
- kradzież
- ich
- Im
- następnie
- one
- to
- w tym tygodniu
- groźba
- podmioty grożące
- czas
- do
- narzędzie
- tradycyjny
- przenieść
- transformacje
- trojański
- zaufany
- Ostatecznie
- dla
- podkreślenia
- chyba że
- na
- posługiwać się
- używany
- użyteczny
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- zwykły
- przez
- Ofiara
- Zobacz i wysłuchaj
- była
- sieć
- Bezpieczeństwo sieci
- tydzień
- który
- Podczas
- okna
- w
- w ciągu
- bez
- słowo
- napisał
- zefirnet