Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Κυβερνασφάλεια

«PhantomBlu» Cyberattackers παρακάμπτουν τους χρήστες του Microsoft Office μέσω OLE

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Μια κακόβουλη καμπάνια ηλεκτρονικού ταχυδρομείου στοχεύει εκατοντάδες χρήστες του Microsoft Office σε οργανισμούς που εδρεύουν στις ΗΠΑ για να παραδώσει ένα trojan απομακρυσμένης πρόσβασης (RAT) που αποφεύγει τον εντοπισμό, εν μέρει εμφανιζόμενος ως νόμιμο λογισμικό.

Σε μια καμπάνια που ονομάστηκε "PhantomBlu" από ερευνητές στο Perception Point, οι εισβολείς υποδύονται μια λογιστική υπηρεσία σε μηνύματα ηλεκτρονικού ταχυδρομείου που καλούν τους ανθρώπους να κατεβάσουν ένα αρχείο Microsoft Office Word, υποτίθεται για να δουν την "μηνιαία αναφορά μισθού τους". Οι στόχοι λαμβάνουν λεπτομερείς οδηγίες για την πρόσβαση στο προστατευμένο με κωδικό πρόσβασης αρχείο "αναφοράς", το οποίο τελικά παρέχει το περιβόητο NetSupport RAT, κακόβουλο λογισμικό αποσπάστηκε από το νόμιμο NetSupport Manager, ένα νόμιμα χρήσιμο εργαλείο απομακρυσμένης τεχνικής υποστήριξης. Οι φορείς απειλών είχαν χρησιμοποιήσει στο παρελθόν το RAT για να αποτυπώσουν συστήματα πριν από την παράδοση ransomware σε αυτά.

"Σχεδιασμένο για κρυφή παρακολούθηση και έλεγχο, μετατρέπει την απομακρυσμένη διαχείριση σε πλατφόρμα για επιθέσεις στον κυβερνοχώρο και κλοπή δεδομένων", ο ειδικός σε θέματα ασφάλειας του Perception Point Web Ariel Davidpur. αποκάλυψε σε μια ανάρτηση ιστολογίου που δημοσιεύτηκε αυτή την εβδομάδα.

Μόλις εγκατασταθεί στο τελικό σημείο του θύματος, το NetSupport μπορεί να παρακολουθεί τη συμπεριφορά, να καταγράφει πατήματα πλήκτρων, να μεταφέρει αρχεία, να αναλαμβάνει τους πόρους του συστήματος και να μετακινείται σε άλλες συσκευές εντός του δικτύου, «όλα υπό το πρόσχημα ενός καλοήθους λογισμικού απομακρυσμένης υποστήριξης», έγραψε.

NetSupport RAT's Evasive OLE Μέθοδος Παράδοσης

Η καμπάνια αντιπροσωπεύει μια νέα μέθοδο παράδοσης για το NetSupport RAT μέσω χειρισμού προτύπων σύνδεσης και ενσωμάτωσης αντικειμένων (OLE). Είναι μια «μεθοδολογία αποχρώσεων» που χρησιμοποιεί νόμιμα πρότυπα εγγράφων του Microsoft Office για την εκτέλεση κακόβουλου κώδικα ενώ αποφεύγει τον εντοπισμό, έγραψε ο Davidpur. 

Εάν ένας χρήστης πραγματοποιήσει λήψη του αρχείου.docx που είναι συνημμένο στα μηνύματα της καμπάνιας και χρησιμοποιήσει τον συνοδευτικό κωδικό πρόσβασης για πρόσβαση σε αυτό, το περιεχόμενο του εγγράφου δίνει περαιτέρω οδηγίες στους στόχους να κάνουν κλικ στην "ενεργοποίηση επεξεργασίας" και στη συνέχεια να κάνουν κλικ στην εικόνα ενός εκτυπωτή που είναι ενσωματωμένος στο έγγραφο στο για να δείτε το "γράφημα μισθού" τους.

Η εικόνα του εκτυπωτή είναι στην πραγματικότητα ένα πακέτο OLE, μια νόμιμη δυνατότητα στα Microsoft Windows που επιτρέπει την ενσωμάτωση και τη σύνδεση με έγγραφα και άλλα αντικείμενα. «Η νόμιμη χρήση του επιτρέπει στους χρήστες να δημιουργούν σύνθετα έγγραφα με στοιχεία από διαφορετικά προγράμματα», έγραψε ο Davidpur.

Μέσω του χειρισμού προτύπων OLE, οι φορείς απειλών εκμεταλλεύονται πρότυπα εγγράφων για να εκτελέσουν κακόβουλο κώδικα χωρίς εντοπισμό, κρύβοντας το ωφέλιμο φορτίο έξω από το έγγραφο. Η καμπάνια είναι η πρώτη φορά που αυτή η διαδικασία χρησιμοποιήθηκε σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στην παράδοση του NetSupport RAT, σύμφωνα με το Perceptive Point.

«Αυτή η προηγμένη τεχνική παρακάμπτει τα παραδοσιακά συστήματα ασφαλείας κρύβοντας το κακόβουλο ωφέλιμο φορτίο έξω από το έγγραφο, εκτελώντας μόνο κατά την αλληλεπίδραση με τον χρήστη», εξήγησε ο Davidpur.

Πράγματι, χρησιμοποιώντας κρυπτογραφημένα αρχεία .doc για την παράδοση του NetSupport RAT μέσω OLE template and template injection (CWE T1221), η καμπάνια PhantomBlu ξεφεύγει από τις συμβατικές τακτικές, τεχνικές και διαδικασίες (TTP) που συνήθως σχετίζονται με το NetSupport Αναπτύξεις RAT.

«Ιστορικά, τέτοιες καμπάνιες βασίζονταν πιο άμεσα σε εκτελέσιμα αρχεία και απλούστερες τεχνικές phishing», έγραψε ο Davidpur. Η μέθοδος OLE καταδεικνύει την καινοτομία της εκστρατείας να συνδυάζει «εξελιγμένες τακτικές φοροδιαφυγής με την κοινωνική μηχανική», έγραψε.

Κρύβεται πίσω από τη νομιμότητα

Κατά την έρευνά τους για την εκστρατεία, οι ερευνητές του Perception Point ανέλυσαν τη μέθοδο παράδοσης βήμα προς βήμα, ανακαλύπτοντας ότι, όπως και ο ίδιος ο RAT, το ωφέλιμο φορτίο κρύβεται πίσω από τη νομιμότητα σε μια προσπάθεια να πετάξει κάτω από το ραντάρ.

Συγκεκριμένα, το Perceptive Point ανέλυσε τη διαδρομή επιστροφής και το αναγνωριστικό μηνύματος των μηνυμάτων ηλεκτρονικού ψαρέματος, παρατηρώντας τη χρήση από τους εισβολείς του «SendInBlue” ή υπηρεσία Brevo. Η Brevo είναι μια νόμιμη πλατφόρμα παράδοσης email που προσφέρει υπηρεσίες για καμπάνιες μάρκετινγκ.

«Αυτή η επιλογή υπογραμμίζει την προτίμηση των επιτιθέμενων να αξιοποιούν αξιόπιστες υπηρεσίες για να κρύψουν την κακόβουλη πρόθεσή τους», έγραψε ο Davidpur.

Αποφυγή συμβιβασμού

Δεδομένου ότι το PhantomBlu χρησιμοποιεί το ηλεκτρονικό ταχυδρομείο ως μέθοδο για την παράδοση κακόβουλου λογισμικού, οι συνήθεις τεχνικές για την αποφυγή συμβιβασμού — όπως η παροχή οδηγιών και εκπαίδευση εργαζομένων σχετικά με τον τρόπο εντοπισμού και αναφοράς δυνητικά κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου — εφαρμόστε.

Κατά γενικό κανόνα, οι άνθρωποι δεν πρέπει ποτέ να κάνουν κλικ σε συνημμένα email εκτός εάν προέρχονται από μια αξιόπιστη πηγή ή από κάποιον με τον οποίο οι χρήστες αλληλογραφούν τακτικά, λένε οι ειδικοί. Επιπλέον, ειδικά οι εταιρικοί χρήστες θα πρέπει να αναφέρουν ύποπτα μηνύματα στους διαχειριστές IT, καθώς μπορεί να υποδεικνύουν σημάδια κακόβουλης καμπάνιας.

Για να βοηθήσει περαιτέρω τους διαχειριστές στον εντοπισμό του PhantomBlu, το Perceptive Point συμπεριέλαβε μια ολοκληρωμένη λίστα με TTP, δείκτες συμβιβασμού (IOC), URL και ονόματα κεντρικών υπολογιστών και διευθύνσεις IP που σχετίζονται με την καμπάνια στην ανάρτηση ιστολογίου.

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.

Συνομιλία με μας

Γεια σου! Πώς μπορώ να σε βοηθήσω?