Backdoor cyberataków „PhantomBlu” Użytkownicy pakietu Microsoft Office za pośrednictwem OLE

Celem złośliwej kampanii e-mailowej są setki użytkowników pakietu Microsoft Office w organizacjach w USA trojan zdalnego dostępu (RAT) który wymyka się wykryciu, częściowo przez to, że pojawia się jako legalne oprogramowanie.

W kampanii nazwanej przez badaczy z Perception Point „PhantomBlu” napastnicy podszywają się pod firmę księgową w wiadomościach e-mail zapraszających ludzi do pobrania pliku programu Microsoft Office Word w celu rzekomo przejrzenia „miesięcznego raportu o zarobkach”. Cele otrzymują szczegółowe instrukcje dotyczące dostępu do chronionego hasłem pliku „raportu”, który ostatecznie dostarcza notorycznego NetSupport RAT, złośliwe oprogramowanie wydzieliło się z legalnego oprogramowania NetSupport Manager, legalnie przydatne narzędzie zdalnej pomocy technicznej. Podmioty zagrażające wykorzystywały już RAT do śledzenia systemów przed dostarczeniem na nie oprogramowania ransomware.

„Zaprojektowany z myślą o ukrytym nadzorze i kontroli, przekształca zdalną administrację w platformę cyberataków i kradzieży danych” – Ariel Davidpur, ekspert ds. bezpieczeństwa Perception Point Web ujawnił w poście na blogu opublikowanym w tym tygodniu.

Po zainstalowaniu na punkcie końcowym ofiary NetSupport może monitorować zachowanie, przechwytywać naciśnięcia klawiszy, przesyłać pliki, przejmować zasoby systemowe i przenosić się na inne urządzenia w sieci „a wszystko pod przykrywką łagodnego oprogramowania do zdalnej pomocy” – napisał.

Metoda wymijającego dostarczania OLE NetSupport RAT

Kampania reprezentuje nowatorską metodę dostarczania NetSupport RAT poprzez manipulację szablonami łączenia i osadzania obiektów (OLE). Jest to „zniuansowana metoda wykorzystania”, która wykorzystuje legalne szablony dokumentów pakietu Microsoft Office w celu wykonania szkodliwego kodu w celu uniknięcia wykrycia, napisał Davidpur. 

Jeśli użytkownik pobierze plik .docx załączony do komunikatów kampanii i użyje dołączonego hasła, aby uzyskać do niego dostęp, treść dokumentu dodatkowo instruuje odbiorców, aby kliknęli „włącz edycję”, a następnie kliknęli obraz drukarki osadzony w dokumencie aby zobaczyć ich „wykres wynagrodzeń”.

Obraz drukarki jest w rzeczywistości pakietem OLE, legalną funkcją systemu Microsoft Windows, która umożliwia osadzanie i łączenie dokumentów i innych obiektów. „Jego legalne użycie umożliwia użytkownikom tworzenie złożonych dokumentów zawierających elementy z różnych programów” – napisał Davidpur.

Poprzez manipulację szablonami OLE ugrupowania zagrażające wykorzystują szablony dokumentów do wykonywania złośliwego kodu bez wykrycia, ukrywając ładunek poza dokumentem. Według Perceptive Point jest to pierwsza kampania, w której zastosowano ten proces w wiadomości e-mail mającej na celu dostarczenie NetSupport RAT.

„Ta zaawansowana technika omija tradycyjne systemy bezpieczeństwa, ukrywając szkodliwy ładunek poza dokumentem i uruchamiając się wyłącznie po interakcji użytkownika” – wyjaśnił Davidpur.

Rzeczywiście, wykorzystując zaszyfrowane pliki .doc do dostarczania NetSupport RAT za pośrednictwem szablonu OLE i wstrzykiwania szablonu (CWE T1221), kampania PhantomBlu odchodzi od konwencjonalnych taktyk, technik i procedur (TTP) powszechnie kojarzonych z NetSupport Wdrożenia RAT.

„Historycznie rzecz biorąc, takie kampanie opierały się bardziej bezpośrednio na plikach wykonywalnych i prostszych technikach phishingu” – napisał Davidpur. Metoda OLE pokazuje innowacyjność kampanii polegającą na połączeniu „wyrafinowanej taktyki unikania z inżynierią społeczną” – napisał.

Ukrywanie się za legalnością

Podczas badania kampanii badacze z Perception Point szczegółowo przeanalizowali metodę dostawy i odkryli, że podobnie jak sam RAT, ładunek kryje się za legalnością próbując przelecieć poniżej radaru.

W szczególności firma Perceptive Point przeanalizowała ścieżkę zwrotną i identyfikator wiadomości e-mail typu phishing, obserwując, jak osoby atakujące korzystają z „SendInBlue” lub serwis Brevo. Brevo to legalna platforma dostarczania wiadomości e-mail oferująca usługi w zakresie kampanii marketingowych.

„Ten wybór podkreśla preferencję atakujących do wykorzystywania renomowanych usług w celu zamaskowania swoich złośliwych zamiarów” – napisał Davidpur.

Unikanie kompromisu

Ponieważ PhantomBlu wykorzystuje pocztę elektroniczną jako metodę dostarczania złośliwego oprogramowania, zwykłe techniki pozwalające uniknąć kompromisu — takie jak instruowanie i szkolenie pracowników o tym, jak wykrywać i zgłaszać potencjalnie złośliwe wiadomości e-mail — aplikuj.

Co do zasady, użytkownicy nigdy nie powinni klikać załączników do wiadomości e-mail, chyba że pochodzą one z zaufanego źródła lub od osoby, z którą użytkownicy regularnie korespondują – twierdzą eksperci. Co więcej, szczególnie użytkownicy korporacyjni powinni zgłaszać administratorom IT podejrzane wiadomości, ponieważ mogą one wskazywać na oznaki złośliwej kampanii.

Aby jeszcze bardziej pomóc administratorom w identyfikacji PhantomBlu, Perceptive Point zamieścił w poście na blogu obszerną listę TTP, wskaźników naruszenia bezpieczeństwa (IOC), adresów URL i nazw hostów oraz adresów IP powiązanych z kampanią.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole