Kibernetski napadalci 'PhantomBlu' prek OLE izvajajo backdoor uporabnike Microsoft Office

Zlonamerna e-poštna kampanja je usmerjena na stotine uporabnikov Microsoft Officea v organizacijah s sedežem v ZDA, da zagotovijo trojanec z oddaljenim dostopom (RAT) ki se izogne ​​odkrivanju, delno tako, da se prikaže kot zakonita programska oprema.

V kampanji, ki so jo raziskovalci pri Perception Pointu poimenovali »PhantomBlu«, se napadalci lažno predstavljajo kot računovodski servis v e-poštnih sporočilih, ki vabijo ljudi, naj prenesejo datoteko Microsoft Office Word, domnevno za ogled njihovega »mesečnega poročila o plačah«. Tarče prejmejo podrobna navodila za dostop do z geslom zaščitene datoteke »poročila«, ki na koncu prinese zloglasno NetSupport RAT, se je zlonamerna programska oprema razvila iz zakonite NetSupport Manager, zakonito uporabno orodje za tehnično podporo na daljavo. Akterji groženj so že prej uporabljali RAT za odtis sistemov, preden so vanje dostavili izsiljevalsko programsko opremo.

"Zasnovan za prikriti nadzor in nadzor, oddaljeno administracijo spremeni v platformo za kibernetske napade in krajo podatkov," strokovnjak Perception Point za spletno varnost Ariel Davidpur je pokazala, v objavi na blogu, objavljeni ta teden.

Ko je nameščen na končni točki žrtve, lahko NetSupport spremlja vedenje, zajema pritiske tipk, prenaša datoteke, prevzema sistemske vire in se premika na druge naprave v omrežju, "vse pod krinko benigne programske opreme za oddaljeno podporo," je zapisal.

NetSupport RAT's Evasive OLE Delivery Method

Kampanja predstavlja novo metodo dostave za NetSupport RAT prek manipulacije predlog za povezovanje in vdelavo objektov (OLE). To je "niansirana metoda izkoriščanja", ki uporablja zakonite predloge dokumentov Microsoft Office za izvajanje zlonamerne kode, medtem ko se izmika zaznavanju, je zapisal Davidpur. 

Če uporabnik prenese datoteko .docx, ki je priložena sporočilom oglaševalske akcije, in za dostop do nje uporabi spremno geslo, vsebina dokumenta ciljnim skupinam nadalje naroči, naj kliknejo »omogoči urejanje« in nato kliknejo sliko tiskalnika, vdelanega v dokument v da si ogledate njihov »graf plač«.

Slika tiskalnika je pravzaprav paket OLE, legitimna funkcija v sistemu Microsoft Windows, ki omogoča vdelavo in povezovanje z dokumenti in drugimi predmeti. "Njegova zakonita uporaba uporabnikom omogoča ustvarjanje sestavljenih dokumentov z elementi iz različnih programov," je zapisal Davidpur.

Preko manipulacije s predlogo OLE akterji groženj izkoriščajo predloge dokumentov za izvajanje zlonamerne kode brez odkrivanja, tako da koristni tovor skrijejo zunaj dokumenta. Kampanja je prvič, da je bil ta postopek uporabljen v e-pošti za dostavo NetSupport RAT, glede na Perceptive Point.

"Ta napredna tehnika zaobide tradicionalne varnostne sisteme tako, da zlonamerno vsebino skrije zunaj dokumenta in se izvede šele ob interakciji uporabnika," je pojasnil Davidpur.

Z uporabo šifriranih datotek .doc za dostavo NetSupport RAT prek predloge OLE in vbrizgavanja predloge (CWE T1221) se kampanja PhantomBlu oddaljuje od običajnih taktik, tehnik in postopkov (TTP), ki so običajno povezani z NetSupport uvedbe RAT.

"V preteklosti so se takšne kampanje bolj neposredno zanašale na izvedljive datoteke in enostavnejše tehnike lažnega predstavljanja," je zapisal Davidpur. Metoda OLE prikazuje inovativnost kampanje, ki združuje "prefinjene taktike utaje s socialnim inženiringom," je zapisal.

Skrivanje za zakonitostjo

V svoji preiskavi kampanje so raziskovalci Perception Point korak za korakom razčlenili način dostave in odkrili, da je, tako kot RAT sam, koristni tovor skriva za legitimnostjo v prizadevanju, da bi letel pod radarjem.

Natančneje, Perceptive Point je analiziral povratno pot in ID sporočila e-poštnih sporočil z lažnim predstavljanjem, pri čemer je opazoval, kako napadalci uporabljajo »SendInBlue” ali storitev Brevo. Brevo je zakonita platforma za dostavo e-pošte, ki ponuja storitve za marketinške akcije.

"Ta izbira poudarja željo napadalcev po uporabi uglednih storitev, da prikrijejo svoje zlonamerne namene," je zapisal Davidpur.

Izogibanje kompromisom

Ker PhantomBlu uporablja e-pošto kot svojo metodo za dostavo zlonamerne programske opreme, so običajne tehnike za izogibanje kompromisom – kot so navodila in usposabljanje zaposlenih o tem, kako opaziti in prijaviti potencialno zlonamerna e-poštna sporočila — prijavite se.

Splošno pravilo je, da ljudje nikoli ne bi smeli klikati e-poštnih prilog, razen če prihajajo iz zaupanja vrednega vira ali nekoga, s katerim si uporabniki redno dopisujejo, pravijo strokovnjaki. Še posebej bi morali korporativni uporabniki sumljiva sporočila prijaviti skrbnikom IT, saj lahko nakazujejo znake zlonamerne kampanje.

Za dodatno pomoč skrbnikom pri prepoznavanju PhantomBlu je Perceptive Point v objavo v spletnem dnevniku vključil obsežen seznam TTP-jev, indikatorjev ogroženosti (IOC), URL-jev in imen gostiteljev ter naslovov IP, povezanih s kampanjo.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole