แคมเปญอีเมลที่เป็นอันตรายกำหนดเป้าหมายผู้ใช้ Microsoft Office หลายร้อยรายในองค์กรในสหรัฐฯ เพื่อส่ง โทรจันการเข้าถึงระยะไกล (RAT) ที่หลบเลี่ยงการตรวจจับ บางส่วนโดยแสดงเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
ในแคมเปญที่ชื่อว่า “PhantomBlu” โดยนักวิจัยที่ Perception Point ผู้โจมตีแอบอ้างเป็นบริการด้านบัญชีในข้อความอีเมลที่เชิญผู้คนให้ดาวน์โหลดไฟล์ Microsoft Office Word โดยอ้างว่าเพื่อดู “รายงานเงินเดือนรายเดือน” เป้าหมายจะได้รับคำแนะนำโดยละเอียดสำหรับการเข้าถึงไฟล์ “รายงาน” ที่มีการป้องกันด้วยรหัสผ่าน ซึ่งท้ายที่สุดจะส่งมอบไฟล์ที่ฉาวโฉ่ NetSupport หนูมัลแวร์แยกตัวออกมาจากสิ่งถูกกฎหมาย ผู้จัดการฝ่ายสนับสนุนเน็ตซึ่งเป็นเครื่องมือสนับสนุนด้านเทคนิคระยะไกลที่มีประโยชน์ตามกฎหมาย ก่อนหน้านี้ผู้คุกคามเคยใช้ RAT เพื่อติดตามระบบก่อนที่จะส่งแรนซัมแวร์ใส่พวกเขา
“ได้รับการออกแบบทางวิศวกรรมเพื่อการเฝ้าระวังและการควบคุมที่ซ่อนเร้น โดยเปลี่ยนการดูแลระบบระยะไกลให้เป็นแพลตฟอร์มสำหรับการโจมตีทางไซเบอร์และการโจรกรรมข้อมูล” Ariel Davidpur ผู้เชี่ยวชาญด้านความปลอดภัยของ Perception Point Web เปิดเผย ในบล็อกโพสต์ที่เผยแพร่ในสัปดาห์นี้
เมื่อติดตั้งบนปลายทางของเหยื่อแล้ว NetSupport จะสามารถตรวจสอบพฤติกรรม จับการกดแป้นพิมพ์ ถ่ายโอนไฟล์ ครอบครองทรัพยากรระบบ และย้ายไปยังอุปกรณ์อื่น ๆ ภายในเครือข่าย “ทั้งหมดนี้อยู่ภายใต้หน้ากากของซอฟต์แวร์สนับสนุนระยะไกลที่ไม่เป็นอันตราย” เขาเขียน
วิธีการจัดส่ง Evasive OLE ของ NetSupport RAT
แคมเปญนี้แสดงถึงวิธีการจัดส่งแบบใหม่สำหรับ NetSupport RAT ผ่านการจัดการเทมเพลต Object Linking and Embedding (OLE) Davidpur เขียนว่า "วิธีการแสวงหาผลประโยชน์ที่เหมาะสมยิ่ง" ที่ใช้เทมเพลตเอกสาร Microsoft Office ที่ถูกต้องตามกฎหมายเพื่อรันโค้ดที่เป็นอันตรายในขณะที่หลบเลี่ยงการตรวจจับ
หากผู้ใช้ดาวน์โหลดไฟล์ .docx ที่แนบมากับข้อความของแคมเปญ และใช้รหัสผ่านที่แนบมาเพื่อเข้าถึง เนื้อหาของเอกสารจะแนะนำให้เป้าหมายคลิก “เปิดใช้งานการแก้ไข” จากนั้นให้คลิกรูปภาพของเครื่องพิมพ์ที่ฝังอยู่ในเอกสารในนั้น เพื่อดู “กราฟเงินเดือน”
อิมเมจของเครื่องพิมพ์จริงๆ แล้วเป็นแพ็คเกจ OLE ซึ่งเป็นฟีเจอร์ที่ถูกต้องใน Microsoft Windows ที่อนุญาตให้ฝังและลิงก์ไปยังเอกสารและวัตถุอื่นๆ “การใช้งานที่ถูกต้องตามกฎหมายช่วยให้ผู้ใช้สามารถสร้างเอกสารประกอบที่มีองค์ประกอบจากโปรแกรมต่างๆ” Davidpur เขียน
ด้วยการจัดการเทมเพลต OLE ผู้คุกคามจะใช้ประโยชน์จากเทมเพลตเอกสารเพื่อรันโค้ดที่เป็นอันตรายโดยไม่มีการตรวจจับโดยการซ่อนเพย์โหลดไว้ภายนอกเอกสาร แคมเปญนี้เป็นครั้งแรกที่ใช้กระบวนการนี้ในอีเมลเพื่อจัดส่ง NetSupport RAT ตาม Perceptive Point
“เทคนิคขั้นสูงนี้เลี่ยงระบบรักษาความปลอดภัยแบบเดิมโดยการซ่อนเพย์โหลดที่เป็นอันตรายไว้นอกเอกสาร โดยจะดำเนินการเฉพาะเมื่อมีปฏิสัมพันธ์กับผู้ใช้เท่านั้น” Davidpur อธิบาย
แท้จริงแล้ว ด้วยการใช้ไฟล์ .doc ที่เข้ารหัสเพื่อส่ง NetSupport RAT ผ่านเทมเพลต OLE และการแทรกเทมเพลต (CWE T1221) แคมเปญ PhantomBlu จะแยกออกจากกลยุทธ์ เทคนิค และขั้นตอนทั่วไป (TTP) ที่มักเกี่ยวข้องกับ NetSupport การใช้งาน RAT.
“ในอดีต แคมเปญดังกล่าวอาศัยไฟล์ปฏิบัติการโดยตรงมากกว่าและเทคนิคฟิชชิ่งที่ง่ายกว่า” Davidpur เขียน วิธีการ OLE แสดงให้เห็นถึงนวัตกรรมของแคมเปญที่ผสมผสาน "กลยุทธ์การหลีกเลี่ยงที่ซับซ้อนเข้ากับวิศวกรรมทางสังคม" เขาเขียน
ซ่อนอยู่เบื้องหลังความชอบธรรม
ในการสืบสวนแคมเปญนี้ นักวิจัยของ Perception Point ได้วิเคราะห์วิธีการจัดส่งทีละขั้นตอน และค้นพบว่าเพย์โหลดก็เหมือนกับ RAT นั่นเอง ซ่อนอยู่เบื้องหลังความชอบธรรม ในความพยายามที่จะบินไปใต้เรดาร์
โดยเฉพาะ Perceptive Point วิเคราะห์เส้นทางการส่งคืนและรหัสข้อความของอีเมลฟิชชิ่ง โดยสังเกตการใช้ “ส่งอินบลู” หรือบริการ Brevo Brevo เป็นแพลตฟอร์มการส่งอีเมลที่ถูกต้องตามกฎหมายซึ่งให้บริการสำหรับแคมเปญการตลาด
“ตัวเลือกนี้ตอกย้ำความต้องการของผู้โจมตีในการใช้บริการที่มีชื่อเสียงเพื่อปกปิดเจตนาร้าย” Davidpur เขียน
หลีกเลี่ยงการประนีประนอม
เนื่องจาก PhantomBlu ใช้อีเมลเป็นวิธีการในการส่งมัลแวร์ เทคนิคปกติในการหลีกเลี่ยงการประนีประนอม — เช่น การสอนและ อบรมพนักงาน เกี่ยวกับวิธีระบุและรายงานอีเมลที่อาจเป็นอันตราย — นำไปใช้
ตามกฎทั่วไปแล้ว ผู้คนไม่ควรคลิกไฟล์แนบในอีเมล เว้นแต่จะมาจากแหล่งที่เชื่อถือได้หรือจากบุคคลที่ผู้ใช้ติดต่อด้วยเป็นประจำ ผู้เชี่ยวชาญกล่าว นอกจากนี้ ผู้ใช้ในองค์กรควรรายงานข้อความที่น่าสงสัยไปยังผู้ดูแลระบบไอทีโดยเฉพาะ เนื่องจากอาจบ่งบอกถึงสัญญาณของแคมเปญที่เป็นอันตราย
เพื่อช่วยผู้ดูแลระบบในการระบุ PhantomBlu เพิ่มเติม Perceptive Point ได้รวมรายการ TTP ตัวบ่งชี้การประนีประนอม (IOC) URL และชื่อโฮสต์ และที่อยู่ IP ที่เกี่ยวข้องกับแคมเปญไว้ในบล็อกโพสต์
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :เป็น
- $ ขึ้น
- 7
- a
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ตาม
- การบัญชี
- นักแสดง
- จริง
- ที่อยู่
- การบริหาร
- ผู้ดูแลระบบ
- สูง
- ทั้งหมด
- ช่วยให้
- an
- วิเคราะห์
- และ
- ใช้
- AS
- ช่วยเหลือ
- ที่เกี่ยวข้อง
- At
- การโจมตี
- หลีกเลี่ยง
- หลีกเลี่ยง
- ประตูหลัง
- ก่อน
- พฤติกรรม
- หลัง
- การผสมผสาน
- บล็อก
- by
- รณรงค์
- แคมเปญ
- CAN
- จับ
- ทางเลือก
- คลิก
- รหัส
- อย่างไร
- อย่างธรรมดา
- สารประกอบ
- ครอบคลุม
- การประนีประนอม
- เนื้อหา
- ควบคุม
- ตามธรรมเนียม
- ไทม์ไลน์การ
- สร้าง
- ไซเบอร์
- การโจมตีทางไซเบอร์
- ข้อมูล
- ส่งมอบ
- การส่งมอบ
- มอบ
- การจัดส่ง
- แสดงให้เห็นถึง
- รายละเอียด
- การตรวจพบ
- อุปกรณ์
- ต่าง
- โดยตรง
- การค้นพบ
- เอกสาร
- เอกสาร
- ดาวน์โหลด
- ดาวน์โหลด
- ขนานนามว่า
- ความพยายาม
- องค์ประกอบ
- อีเมล
- อีเมล
- ที่ฝัง
- การฝัง
- ทำให้สามารถ
- ช่วยให้
- ที่มีการเข้ารหัส
- ปลายทาง
- วิศวกรรม
- ชั้นเยี่ยม
- โดยเฉพาะอย่างยิ่ง
- การหลีกเลี่ยง
- ดำเนินการ
- การดำเนินงาน
- ชำนาญ
- ผู้เชี่ยวชาญ
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ลักษณะ
- เนื้อไม่มีมัน
- ไฟล์
- ชื่อจริง
- ครั้งแรก
- รอยพระบาท
- สำหรับ
- ราคาเริ่มต้นที่
- ต่อไป
- General
- กราฟ
- ทาง
- มี
- he
- การซ่อน
- อดีต
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ร้อย
- ID
- ระบุ
- ภาพ
- ปลอมตัว
- in
- รวม
- แสดง
- ตัวชี้วัด
- นักวิเคราะห์ส่วนบุคคลที่หาโอกาสให้เป็นไปได้มากที่สุด
- การติดตั้ง
- คำแนะนำการใช้
- ความตั้งใจ
- ปฏิสัมพันธ์
- เข้าไป
- การสอบสวน
- เชิญ
- IP
- ที่อยู่ IP
- IT
- ITS
- ตัวเอง
- jpg
- ถูกต้องตามกฎหมาย
- ถูกกฎหมาย
- การใช้ประโยชน์
- กดไลก์
- การเชื่อมโยง
- รายการ
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- การตลาด
- หน้ากาก
- อาจ..
- ข่าวสาร
- ข้อความ
- วิธี
- ไมโครซอฟท์
- Microsoft Windows
- การตรวจสอบ
- รายเดือน
- ข้อมูลเพิ่มเติม
- ยิ่งไปกว่านั้น
- ย้าย
- เครือข่าย
- ไม่เคย
- ฉาวโฉ่
- นวนิยาย
- เหมาะสมยิ่ง
- วัตถุ
- วัตถุ
- of
- ปิด
- เสนอ
- Office
- on
- เพียง
- or
- ใบสั่ง
- องค์กร
- อื่นๆ
- ด้านนอก
- เกิน
- แพ็คเกจ
- รหัสผ่าน
- เส้นทาง
- คน
- ความเข้าใจ
- ฟิชชิ่ง
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- โพสต์
- ที่อาจเกิดขึ้น
- ก่อนหน้านี้
- ขั้นตอน
- กระบวนการ
- โปรแกรม
- การตีพิมพ์
- เรดาร์
- ransomware
- หนู
- รับ
- สม่ำเสมอ
- รีโมท
- รายงาน
- แสดงให้เห็นถึง
- มีชื่อเสียง
- นักวิจัย
- แหล่งข้อมูล
- กลับ
- กฎ
- s
- เงินเดือน
- กล่าว
- ความปลอดภัย
- บริการ
- บริการ
- น่า
- การแสดง
- สัญญาณ
- ที่เรียบง่าย
- สังคม
- วิศวกรรมทางสังคม
- ซอฟต์แวร์
- บางคน
- ซับซ้อน
- แหล่ง
- จุด
- ปั่น
- หลบ ๆ ซ่อน ๆ
- ขั้นตอน
- อย่างเช่น
- สนับสนุน
- การเฝ้าระวัง
- พิรุธ
- ระบบ
- ระบบ
- กลยุทธ์
- เอา
- กำหนดเป้าหมาย
- เป้าหมาย
- วิชาการ
- เทคนิค
- เทคนิค
- เทมเพลต
- แม่แบบ
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- แล้วก็
- พวกเขา
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ไปยัง
- เครื่องมือ
- แบบดั้งเดิม
- โอน
- การแปลง
- โทรจัน
- ที่เชื่อถือ
- ในที่สุด
- ภายใต้
- ขีด
- เว้นแต่
- เมื่อ
- ใช้
- มือสอง
- มีประโยชน์
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- การใช้
- ตามปกติ
- ผ่านทาง
- เหยื่อ
- รายละเอียด
- คือ
- เว็บ
- ความปลอดภัยของเว็บ
- สัปดาห์
- ที่
- ในขณะที่
- หน้าต่าง
- กับ
- ภายใน
- ไม่มี
- คำ
- เขียน
- ลมทะเล