“PhantomBlu”网络攻击者通过 OLE 对 Microsoft Office 用户进行后门攻击

“PhantomBlu”网络攻击者通过 OLE 对 Microsoft Office 用户进行后门攻击

时间戳记:19年2024月10日上午53:XNUMX
“PhantomBlu”网络攻击者通过 OLE PlatoBlockchain 数据智能对 Microsoft Office 用户进行后门。垂直搜索。人工智能。

恶意电子邮件活动针对美国组织中的数百名 Microsoft Office 用户,以发送 远程访问木马 (RAT) 部分通过显示为合法软件来逃避检测。

在 Perception Point 研究人员称为“PhantomBlu”的活动中,攻击者在电子邮件中冒充会计服务,邀请人们下载 Microsoft Office Word 文件,据称是为了查看他们的“月度工资报告”。目标会收到访问受密码保护的“报告”文件的详细说明,该文件最终会带来臭名昭著的信息 网络支持RAT,从合法软件中分离出来的恶意软件 NetSupport Manager,一个合法有用的远程技术支持工具。威胁行为者之前曾使用 RAT 跟踪系统,然后再向系统发送勒索软件。

Perception Point 网络安全专家 Ariel Davidpur 表示:“它专为秘密监视和控制而设计,可将远程管理转变为网络攻击和数据盗窃的平台。” 发现 在本周发表的一篇博客文章中。

一旦安装在受害者的端点上,NetSupport 就可以监控行为、捕获击键、传输文件、接管系统资源以及移动到网络内的其他设备,“所有这些都在良性远程支持软件的幌子下”,他写道。

NetSupport RAT 的规避 OLE 交付方法

该活动代表了一种通过对象链接和嵌入 (OLE) 模板操作的 NetSupport RAT 的新颖交付方法。 Davidpur 写道,这是一种“细致入微的利用方法”,使用合法的 Microsoft Office 文档模板来执行恶意代码,同时逃避检测。 

如果用户下载附加到活动消息中的 .docx 文件并使用随附的密码来访问该文件,则该文档的内容会进一步指示目标单击“启用编辑”,然后单击嵌入在文档中的打印机图像为了查看他们的“薪资图表”。

打印机图像实际上是一个 OLE 包,它是 Microsoft Windows 中的一项合法功能,允许嵌入和链接到文档和其他对象。 Davidpur 写道:“它的合法用途使用户能够使用来自不同程序的元素创建复合文档。”

通过 OLE 模板操作,威胁参与者将有效负载隐藏在文档外部,从而利用文档模板执行恶意代码,而不会被检测到。据 Perceptive Point 称,这是该活动首次在电子邮件中使用此流程来交付 NetSupport RAT。

Davidpur 解释说:“这种先进技术通过将恶意负载隐藏在文档之外,仅在用户交互时执行,从而绕过传统安全系统。”

事实上,通过使用加密的 .doc 文件通过 OLE 模板和模板注入 (CWE T1221) 传递 NetSupport RAT,PhantomBlu 活动偏离了通常与 NetSupport 相关的传统策略、技术和程序 (TTP) RAT 部署.

“从历史上看,此类活动更直接依赖于可执行文件和更简单的网络钓鱼技术,”戴维普尔写道。他写道,OLE 方法展示了该活动将“复杂的规避策略与社会工程相结合”的创新。

隐藏在合法性背后

在对该活动的调查中,感知点研究人员逐步剖析了这种传递方法,发现与 RAT 本身一样,有效负载 隐藏在合法性背后 努力在雷达下飞行。

具体来说,Perceptive Point 分析了钓鱼邮件的返回路径和邮件 ID,观察攻击者使用“SendInBlue”或 Brevo 服务。 Brevo 是一个合法的电子邮件发送平台,为营销活动提供服务。

戴维普尔写道:“这一选择凸显了攻击者更愿意利用信誉良好的服务来掩盖他们的恶意意图。”

避免妥协

由于 PhantomBlu 使用电子邮件作为传播恶意软件的方法,因此避免妥协的常用技术 - 例如指示和 培训员工 关于如何发现和报告潜在的恶意电子邮件 - 申请。

专家表示,一般来说,人们永远不应该点击电子邮件附件,除非它们来自可信来源或用户经常联系的人。此外,企业用户尤其应该向 IT 管理员报告可疑消息,因为它们可能表明存在恶意活动的迹象。

为了进一步帮助管理员识别 PhantomBlu,Perceptive Point 在博客文章中提供了与该活动相关的 TTP、妥协指标 (IOC)、URL 和主机名以及 IP 地址的完整列表。

时间戳记:

更多来自 暗读