"PhantomBlu" Cyberattackers Bakdörr Microsoft Office-användare via OLE

En skadlig e-postkampanj riktar sig till hundratals Microsoft Office-användare i USA-baserade organisationer för att leverera en fjärråtkomst trojan (RAT) som undviker upptäckt, delvis genom att dyka upp som legitim programvara.

I en kampanj kallad "PhantomBlu" av forskare vid Perception Point, utger sig angripare som en redovisningstjänst i e-postmeddelanden som inbjuder människor att ladda ner en Microsoft Office Word-fil, påstås för att se deras "månadslönerapport." Mål får detaljerade instruktioner för att komma åt den lösenordsskyddade "rapport"-filen, som i slutändan levererar den ökända NetSupport RAT, skadlig programvara sprängs från den legitima NetSupport Manager, ett legitimt användbart verktyg för teknisk fjärrsupport. Hotaktörer har tidigare använt RAT för att fotavtrycka system innan de levererar ransomware på dem.

"Konstruerad för smyg övervakning och kontroll, förvandlar den fjärradministration till en plattform för cyberattacker och datastöld," Perception Points webbsäkerhetsexpert Ariel Davidpur avslöjade i ett blogginlägg som publicerades denna vecka.

När NetSupport väl har installerats på ett offers slutpunkt kan NetSupport övervaka beteende, fånga tangenttryckningar, överföra filer, ta över systemresurser och flytta till andra enheter inom nätverket, "allt under sken av en godartad fjärrsupportprogramvara", skrev han.

NetSupport RAT:s Evasive OLE Delivery Method

Kampanjen representerar en ny leveransmetod för NetSupport RAT via manipulering av OLE-mallar (Object Linking and Embedding). Det är en "nyanserad exploateringsmetod" som använder legitima Microsoft Office-dokumentmallar för att exekvera skadlig kod samtidigt som den undviker upptäckt, skrev Davidpur. 

Om en användare laddar ner .docx-filen som är bifogad till kampanjens meddelanden och använder det medföljande lösenordet för att komma åt det, instruerar innehållet i dokumentet ytterligare mål att klicka på "aktivera redigering" och sedan klicka på bilden av en skrivare som är inbäddad i dokumentet i för att se deras "lönediagram".

Skrivarbilden är faktiskt ett OLE-paket, en legitim funktion i Microsoft Windows som tillåter inbäddning och länkning till dokument och andra objekt. "Dess legitima användning gör det möjligt för användare att skapa sammansatta dokument med element från olika program," skrev Davidpur.

Via OLE-mallmanipulation utnyttjar hotaktörerna dokumentmallar för att exekvera skadlig kod utan upptäckt genom att dölja nyttolasten utanför dokumentet. Kampanjen är första gången denna process användes i ett e-postmeddelande till leverans av NetSupport RAT, enligt Perceptive Point.

"Denna avancerade teknik kringgår traditionella säkerhetssystem genom att dölja den skadliga nyttolasten utanför dokumentet, och körs endast vid användarinteraktion," förklarade Davidpur.

Genom att använda krypterade .doc-filer för att leverera NetSupport RAT via OLE-mall och mallinjektion (CWE T1221), avviker PhantomBlu-kampanjen från de konventionella taktikerna, teknikerna och procedurerna (TTP) som vanligtvis förknippas med NetSupport RAT-distributioner.

"Historiskt sett har sådana kampanjer förlitat sig mer direkt på körbara filer och enklare nätfisketekniker", skrev Davidpur. OLE-metoden visar kampanjens innovation för att blanda "sofistikerad undanflyktstaktik med social ingenjörskonst", skrev han.

Gömmer sig bakom legitimitet

I sin undersökning av kampanjen dissekerade Perception Point-forskarna leveransmetoden steg för steg och upptäckte att nyttolasten, liksom RAT själv, gömmer sig bakom legitimitet i ett försök att flyga under radarn.

Specifikt analyserade Perceptive Point returvägen och meddelande-ID för nätfiske-e-postmeddelanden, och observerade angriparnas användning av "SendInBlue” eller Brevo-tjänst. Brevo är en legitim plattform för e-postleverans som erbjuder tjänster för marknadsföringskampanjer.

"Detta val understryker angriparnas preferens för att utnyttja välrenommerade tjänster för att maskera deras skadliga avsikter," skrev Davidpur.

Undvika kompromiss

Eftersom PhantomBlu använder e-post som sin metod för att leverera skadlig programvara, är de vanliga teknikerna för att undvika kompromisser – som att instruera och utbildning av anställda om hur man upptäcker och rapporterar potentiellt skadliga e-postmeddelanden — ansök.

Som en allmän regel bör människor aldrig klicka på e-postbilagor om de inte kommer från en pålitlig källa eller någon som användare regelbundet korresponderar med, säger experter. Dessutom bör särskilt företagsanvändare rapportera misstänkta meddelanden till IT-administratörer, eftersom de kan indikera tecken på en skadlig kampanj.

För att ytterligare hjälpa administratörer att identifiera PhantomBlu inkluderade Perceptive Point en omfattande lista över TTP:er, kompromissindikatorer (IOCs), URL:er och värdnamn och IP-adresser associerade med kampanjen i blogginlägget.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole