Кампанія зловмисної електронної пошти націлена на сотні користувачів Microsoft Office в організаціях, розташованих у США, щоб надати троян віддаленого доступу (RAT) який ухиляється від виявлення, частково показуючи як законне програмне забезпечення.
У кампанії, яку дослідники з Perception Point назвали PhantomBlu, зловмисники видають себе за бухгалтерську службу в електронних повідомленнях, які пропонують людям завантажити файл Microsoft Office Word, нібито для перегляду їхнього «місячного звіту про зарплату». Цілі отримують детальні інструкції щодо доступу до захищеного паролем файлу «звіту», який в кінцевому підсумку забезпечує сумнозвісний NetSupport RAT, зловмисне програмне забезпечення відокремилося від законного NetSupport Manager, законно корисний інструмент віддаленої технічної підтримки. Зловмисники раніше використовували RAT для відбитків систем перед тим, як завантажувати на них програми-вимагачі.
«Створений для прихованого спостереження та контролю, він перетворює дистанційне адміністрування на платформу для кібератак і крадіжки даних», — експерт з веб-безпеки Perception Point Аріель Девідпур. виявлено у дописі в блозі, опублікованому цього тижня.
Після встановлення на кінцевій точці жертви NetSupport може відстежувати поведінку, фіксувати натискання клавіш, передавати файли, захоплювати системні ресурси та переміщатися на інші пристрої в мережі, «все під виглядом доброякісного програмного забезпечення віддаленої підтримки», — написав він.
Метод уникнення OLE від NetSupport RAT
Кампанія представляє новий метод доставки для NetSupport RAT за допомогою маніпулювання шаблонами зв’язування та вбудовування об’єктів (OLE). Це «тонкий метод експлуатації», який використовує законні шаблони документів Microsoft Office для виконання шкідливого коду, уникаючи виявлення, написав Девідпур.
Якщо користувач завантажує файл .docx, доданий до повідомлень кампанії, і використовує супровідний пароль для доступу до нього, вміст документа додатково вказує цілям натиснути «ввімкнути редагування», а потім клацнути зображення принтера, вбудованого в документ у щоб переглянути їхній «графік зарплат».
Зображення принтера насправді є пакетом OLE, законною функцією Microsoft Windows, яка дозволяє вбудовувати документи та інші об’єкти та посилатися на них. «Його законне використання дозволяє користувачам створювати складні документи з елементами з різних програм», — написав Девідпур.
За допомогою маніпуляцій з шаблоном OLE зловмисники використовують шаблони документів для виконання шкідливого коду без виявлення, приховуючи корисне навантаження за межами документа. За даними Perceptive Point, у цій кампанії вперше цей процес було використано в електронному листі до служби доставки NetSupport RAT.
«Ця вдосконалена техніка обходить традиційні системи безпеки, приховуючи зловмисне корисне навантаження за межами документа та запускаючись лише після взаємодії користувача», — пояснив Девідпур.
Дійсно, використовуючи зашифровані файли .doc для доставки NetSupport RAT через шаблон OLE та впровадження шаблону (CWE T1221), кампанія PhantomBlu відходить від звичайних тактик, методів і процедур (TTP), які зазвичай пов’язані з NetSupport Розгортання RAT.
«Історично такі кампанії покладалися безпосередньо на виконувані файли та простіші методи фішингу», — написав Девідпур. Метод OLE демонструє інноваційність кампанії, яка полягає в поєднанні «складної тактики ухилення з соціальною інженерією», – написав він.
Приховування за легітимністю
У своєму дослідженні кампанії дослідники Perception Point крок за кроком проаналізували метод доставки, виявивши, що, як і сам RAT, корисне навантаження ховається за легітимністю намагаючись пройти під радаром.
Зокрема, Perceptive Point проаналізувала зворотний шлях та ідентифікатор повідомлення фішингових електронних листів, спостерігаючи за використанням зловмисниками «SendInBlue» або сервіс Brevo. Brevo — це законна платформа доставки електронної пошти, яка пропонує послуги для маркетингових кампаній.
«Цей вибір підкреслює перевагу зловмисників використовувати авторитетні служби, щоб замаскувати свої зловмисні наміри», — написав Девідпур.
Уникнення компромісу
Оскільки PhantomBlu використовує електронну пошту як спосіб доставки зловмисного програмного забезпечення, звичайні методи уникнення компромісу, такі як інструкції та навчання працівників про те, як виявляти потенційно шкідливі листи та повідомляти про них — подайте заявку.
За загальним правилом, люди ніколи не повинні натискати вкладення електронної пошти, якщо вони не надходять з надійного джерела або від когось, з ким користувачі регулярно листуються, кажуть експерти. Крім того, корпоративні користувачі особливо повинні повідомляти про підозрілі повідомлення ІТ-адміністраторам, оскільки вони можуть свідчити про ознаки зловмисної кампанії.
Щоб додатково допомогти адміністраторам ідентифікувати PhantomBlu, Perceptive Point включив у допис блогу вичерпний список TTP, індикаторів компрометації (IOC), URL-адрес та імен хостів, а також IP-адрес, пов’язаних із кампанією.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :є
- $UP
- 7
- a
- МЕНЮ
- доступ
- доступ до
- За
- бухгалтерський облік
- актори
- насправді
- адреси
- адміністрація
- Адміністратори
- просунутий
- ВСІ
- дозволяє
- an
- проаналізовані
- та
- Застосовувати
- AS
- допомогу
- асоційований
- At
- нападки
- уникнути
- уникає
- закулісний
- перед тим
- поведінка
- за
- Blend
- Блог
- by
- Кампанія
- Кампанії
- CAN
- захоплення
- вибір
- клацання
- код
- Приходити
- зазвичай
- З'єднання
- всеосяжний
- компроміс
- зміст
- контроль
- звичайний
- Корпоративний
- створювати
- кібер-
- Кібератаки
- дані
- доставляти
- надання
- постачає
- доставка
- демонструє
- докладно
- Виявлення
- прилади
- різний
- безпосередньо
- відкриття
- документ
- документація
- скачати
- завантажень
- охрестили
- зусилля
- елементи
- повідомлення електронної пошти
- вбудований
- вбудовування
- включіть
- дозволяє
- зашифрованих
- Кінцева точка
- інженерії
- Машинобудування
- особливо
- ухилення
- виконувати
- виконання
- експерт
- experts
- пояснені
- Експлуатувати
- експлуатація
- особливість
- філе
- Файли
- Перший
- перший раз
- Слід
- для
- від
- далі
- Загальне
- графік
- як хочеш
- Мати
- he
- приховування
- історично
- Як
- How To
- HTTPS
- Сотні
- ID
- ідентифікує
- зображення
- уособлювати
- in
- включені
- вказувати
- індикатори
- інновація
- встановлений
- інструкції
- намір
- взаємодія
- в
- дослідження
- запрошувати
- IP
- IP-адреси
- IT
- ЙОГО
- сам
- JPG
- легітимність
- законний
- використання
- як
- Зв'язуючий
- список
- malicious
- шкідливих програм
- Маніпуляція
- Маркетинг
- маска
- Може..
- повідомлення
- повідомлення
- метод
- Microsoft
- Microsoft Windows,
- монітор
- щомісячно
- більше
- Більше того
- рухатися
- мережу
- ніколи
- горезвісний
- роман
- нюанс
- об'єкт
- об'єкти
- of
- від
- Пропозиції
- Office
- on
- тільки
- or
- порядок
- організації
- Інше
- поза
- над
- пакет
- Пароль
- шлях
- Люди
- сприйняття
- phishing
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- пошта
- потенційно
- раніше
- Процедури
- процес
- програми
- опублікований
- радар
- вимагачів
- ЩУР
- отримати
- регулярно
- віддалений
- звітом
- представляє
- шановний
- Дослідники
- ресурси
- повертати
- Правило
- s
- заробітна плата
- say
- безпеку
- обслуговування
- Послуги
- Повинен
- показ
- Ознаки
- простий
- соціальна
- Соціальна інженерія
- Софтвер
- Хтось
- складний
- Source
- Spot
- крутився
- крадькома
- Крок
- такі
- підтримка
- спостереження
- підозрілі
- система
- Systems
- тактика
- Приймати
- націлювання
- цілі
- технічний
- техніка
- методи
- шаблон
- Шаблони
- Що
- Команда
- крадіжка
- їх
- Їх
- потім
- вони
- це
- На цьому тижні
- загроза
- актори загроз
- час
- до
- інструмент
- традиційний
- переклад
- перетворення
- троянець
- Довірений
- Зрештою
- при
- нижнє підкреслення
- якщо не
- на
- використання
- використовуваний
- корисний
- користувач
- користувачі
- використовує
- використання
- звичайний
- через
- Жертва
- вид
- було
- Web
- Веб-безпека
- week
- який
- в той час як
- windows
- з
- в
- без
- слово
- пише
- зефірнет