Atacatorii cibernetici „PhantomBlu” Utilizatorii Microsoft Office din backdoor prin OLE

O campanie de e-mail rău intenționată vizează sute de utilizatori Microsoft Office din organizațiile din SUA pentru a livra a troian de acces la distanță (RAT) care se sustrage de la detectare, parțial prin apariția ca software legitim.

Într-o campanie numită „PhantomBlu” de către cercetătorii de la Perception Point, atacatorii uzurpă identitatea unui serviciu de contabilitate în mesajele de e-mail care invită oamenii să descarce un fișier Microsoft Office Word, se presupune că pentru a-și vedea „raportul lunar de salariu”. Țintele primesc instrucțiuni detaliate pentru accesarea fișierului „raport” protejat prin parolă, care în cele din urmă oferă notoriu NetSupport RAT, malware-ul s-a desprins de cel legitim NetSupport Manager, un instrument de suport tehnic de la distanță util în mod legitim. Actorii amenințărilor au folosit anterior RAT pentru a-și amprenta sistemele înainte de a livra ransomware pe ele.

„Conceput pentru supraveghere și control ascuns, transformă administrarea de la distanță într-o platformă pentru atacuri cibernetice și furt de date”, expert în securitate web Perception Point Ariel Davidpur dezvăluit într-o postare pe blog publicată săptămâna aceasta.

Odată instalat pe punctul final al victimei, NetSupport poate monitoriza comportamentul, captura apăsările de taste, transfera fișiere, prelua resursele de sistem și se poate muta pe alte dispozitive din rețea, „totul sub pretextul unui software de suport de la distanță bun”, a scris el.

Metoda de livrare OLE evazivă a NetSupport RAT

Campania reprezintă o metodă nouă de livrare pentru NetSupport RAT prin manipularea șabloanelor OLE (Object Linking and Embedding). Este o „metodă de exploatare nuanțată” care folosește șabloane de documente Microsoft Office legitime pentru a executa cod rău intenționat, evitând în același timp detectarea, a scris Davidpur. 

Dacă un utilizator descarcă fișierul.docx atașat la mesajele campaniei și folosește parola însoțitoare pentru a-l accesa, conținutul documentului le indică în continuare țintelor să facă clic pe „Activează editarea” și apoi să facă clic pe imaginea unei imprimante încorporate în document în pentru a vedea „graficul salarial” al acestora.

Imaginea imprimantei este de fapt un pachet OLE, o caracteristică legitimă în Microsoft Windows care permite încorporarea și legarea la documente și alte obiecte. „Utilizarea sa legitimă permite utilizatorilor să creeze documente compuse cu elemente din diferite programe”, a scris Davidpur.

Prin manipularea șabloanelor OLE, actorii amenințărilor exploatează șabloanele de document pentru a executa cod rău intenționat fără a fi detectat, ascunzând încărcătura utilă în afara documentului. Campania este prima dată când acest proces a fost folosit într-un e-mail către NetSupport RAT de livrare, potrivit Perceptive Point.

„Această tehnică avansată ocolește sistemele tradiționale de securitate, ascunzând încărcătura utilă rău intenționată în afara documentului, executându-se doar la interacțiunea utilizatorului”, a explicat Davidpur.

Într-adevăr, prin utilizarea fișierelor .doc criptate pentru a livra NetSupport RAT prin șablon OLE și injectare de șablon (CWE T1221), campania PhantomBlu se îndepărtează de tacticile, tehnicile și procedurile convenționale (TTP) asociate în mod obișnuit cu NetSupport. Implementări RAT.

„În mod istoric, astfel de campanii s-au bazat mai direct pe fișiere executabile și pe tehnici de phishing mai simple”, a scris Davidpur. Metoda OLE demonstrează inovația campaniei de a combina „tactici sofisticate de evaziune cu ingineria socială”, a scris el.

Ascunzându-se în spatele legitimității

În investigația lor asupra campaniei, cercetătorii Punctului de Percepție au disecat metoda de livrare pas cu pas, descoperind că, la fel ca RAT însuși, sarcina utilă se ascunde în spatele legitimității într-un efort de a zbura sub radar.

Concret, Perceptive Point a analizat calea de întoarcere și ID-ul mesajelor e-mailurilor de phishing, observând utilizarea de către atacatori a „SendInBlue” sau serviciul Brevo. Brevo este o platformă legitimă de livrare a e-mailului care oferă servicii pentru campanii de marketing.

„Această alegere subliniază preferința atacatorilor de a folosi servicii de renume pentru a-și masca intenția rău intenționată”, a scris Davidpur.

Evitarea compromisului

Deoarece PhantomBlu folosește e-mailul ca metodă de a furniza programe malware, tehnicile obișnuite pentru a evita compromisurile - cum ar fi instruirea și instruirea angajaților despre cum să detectați și să raportați e-mailurile potențial rău intenționate - aplicați.

Ca regulă generală, oamenii nu ar trebui să facă clic pe atașamentele de e-mail decât dacă provin de la o sursă de încredere sau de la cineva cu care utilizatorii corespondent în mod regulat, spun experții. Mai mult, utilizatorii corporativi în special ar trebui să raporteze mesajele suspecte administratorilor IT, deoarece acestea pot indica semne ale unei campanii rău intenționate.

Pentru a ajuta administratorii să identifice PhantomBlu, Perceptive Point a inclus o listă cuprinzătoare de TTP, indicatori de compromis (IOC), URL-uri și nume de gazdă și adrese IP asociate campaniei în postarea de blog.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole