Những kẻ tấn công mạng 'PhantomBlu' Backdoor Người dùng Microsoft Office thông qua OLE

Một chiến dịch email độc hại đang nhắm mục tiêu hàng trăm người dùng Microsoft Office trong các tổ chức có trụ sở tại Hoa Kỳ để cung cấp trojan truy cập từ xa (RAT) tránh bị phát hiện, một phần bằng cách hiển thị dưới dạng phần mềm hợp pháp.

Trong một chiến dịch được các nhà nghiên cứu tại Perception Point đặt tên là “PhantomBlu”, những kẻ tấn công mạo danh một dịch vụ kế toán trong các email mời mọi người tải xuống tệp Microsoft Office Word, với mục đích xem “báo cáo lương hàng tháng” của họ. Các mục tiêu nhận được hướng dẫn chi tiết để truy cập vào tệp “báo cáo” được bảo vệ bằng mật khẩu, cuối cùng mang đến NetHỗ trợ RAT, phần mềm độc hại tách ra từ hợp pháp Trình quản lý hỗ trợ Net, một công cụ hỗ trợ kỹ thuật từ xa hữu ích hợp pháp. Các tác nhân đe dọa trước đây đã sử dụng RAT để theo dõi các hệ thống trước khi phát tán ransomware vào chúng.

Chuyên gia bảo mật trang web Perception Point Ariel Davidpur cho biết: “Được thiết kế để giám sát và kiểm soát lén lút, nó biến quản trị từ xa thành nền tảng cho các cuộc tấn công mạng và đánh cắp dữ liệu”. tiết lộ trong một bài viết blog được xuất bản trong tuần này.

Sau khi được cài đặt trên điểm cuối của nạn nhân, NetSupport có thể giám sát hành vi, ghi lại các thao tác gõ phím, truyền tệp, chiếm đoạt tài nguyên hệ thống và di chuyển đến các thiết bị khác trong mạng, “tất cả đều dưới vỏ bọc của một phần mềm hỗ trợ từ xa lành tính”, ông viết.

Phương thức phân phối OLE né tránh của NetSupport RAT

Chiến dịch thể hiện một phương thức phân phối mới cho NetSupport RAT thông qua thao tác với các mẫu Liên kết và nhúng đối tượng (OLE). Davidpur viết: “Đó là một “phương pháp khai thác phức tạp” sử dụng các mẫu tài liệu Microsoft Office hợp pháp để thực thi mã độc hại đồng thời tránh bị phát hiện. 

Nếu người dùng tải xuống tệp .docx kèm theo thông điệp của chiến dịch và sử dụng mật khẩu đi kèm để truy cập vào tệp đó, nội dung của tài liệu sẽ hướng dẫn thêm mục tiêu nhấp vào “bật chỉnh sửa” và sau đó nhấp vào hình ảnh của máy in được nhúng trên tài liệu trong để xem “biểu đồ lương” của họ.

Hình ảnh máy in thực chất là một gói OLE, một tính năng hợp pháp trong Microsoft Windows cho phép nhúng và liên kết đến các tài liệu và các đối tượng khác. Davidpur viết: “Việc sử dụng hợp pháp của nó cho phép người dùng tạo các tài liệu phức hợp với các thành phần từ các chương trình khác nhau”.

Thông qua thao tác mẫu OLE, kẻ tấn công khai thác các mẫu tài liệu để thực thi mã độc mà không bị phát hiện bằng cách ẩn tải trọng bên ngoài tài liệu. Chiến dịch này là lần đầu tiên quy trình này được sử dụng trong email gửi NetSupport RAT, theo Perceptive Point.

Davidpur giải thích: “Kỹ thuật tiên tiến này vượt qua các hệ thống bảo mật truyền thống bằng cách ẩn tải trọng độc hại bên ngoài tài liệu, chỉ thực thi khi có sự tương tác của người dùng”.

Thật vậy, bằng cách sử dụng các tệp .doc được mã hóa để phân phối NetSupport RAT thông qua mẫu OLE và tính năng chèn mẫu (CWE T1221), chiến dịch PhantomBlu khác với các chiến thuật, kỹ thuật và quy trình thông thường (TTP) thường được liên kết với NetSupport Triển khai RAT.

Davidpur viết: “Trong lịch sử, các chiến dịch như vậy phụ thuộc trực tiếp hơn vào các tệp thực thi và các kỹ thuật lừa đảo đơn giản hơn”. Ông viết: Phương pháp OLE thể hiện sự đổi mới của chiến dịch nhằm kết hợp “các chiến thuật trốn tránh tinh vi với kỹ thuật xã hội”.

Ẩn đằng sau tính hợp pháp

Trong quá trình điều tra chiến dịch, các nhà nghiên cứu của Perception Point đã mổ xẻ phương thức phân phối từng bước và phát hiện ra rằng, giống như RAT, tải trọng ẩn đằng sau tính hợp pháp trong một nỗ lực để bay dưới radar.

Cụ thể, Perceptive Point đã phân tích đường dẫn trả về và ID tin nhắn của các email lừa đảo, quan sát việc kẻ tấn công sử dụng “gửi trong màu xanh” hoặc dịch vụ Brevo. Brevo là một nền tảng gửi email hợp pháp cung cấp dịch vụ cho các chiến dịch tiếp thị.

Davidpur viết: “Lựa chọn này nhấn mạnh sở thích của những kẻ tấn công trong việc tận dụng các dịch vụ có uy tín để che giấu mục đích độc hại của chúng”.

Tránh thỏa hiệp

Vì PhantomBlu sử dụng email làm phương thức phát tán phần mềm độc hại nên các kỹ thuật thông thường để tránh bị xâm phạm — chẳng hạn như hướng dẫn và đào tạo nhân viên về cách phát hiện và báo cáo các email độc hại tiềm ẩn — hãy áp dụng.

Các chuyên gia cho biết, theo nguyên tắc chung, mọi người không bao giờ nên nhấp vào tệp đính kèm email trừ khi chúng đến từ một nguồn đáng tin cậy hoặc ai đó mà người dùng thường xuyên trao đổi thư từ. Hơn nữa, người dùng doanh nghiệp đặc biệt nên báo cáo các tin nhắn đáng ngờ cho quản trị viên CNTT vì chúng có thể chỉ ra dấu hiệu của một chiến dịch độc hại.

Để hỗ trợ thêm cho quản trị viên trong việc xác định PhantomBlu, Perceptive Point đã đưa vào danh sách đầy đủ các TTP, chỉ báo xâm phạm (IOC), URL và tên máy chủ cũng như địa chỉ IP được liên kết với chiến dịch trong bài đăng trên blog.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole