Кампанія зловмисної електронної пошти націлена на сотні користувачів Microsoft Office в організаціях, розташованих у США, щоб надати троян віддаленого доступу (RAT) який ухиляється від виявлення, частково показуючи як законне програмне забезпечення.

У кампанії, яку дослідники з Perception Point назвали PhantomBlu, зловмисники видають себе за бухгалтерську службу в електронних повідомленнях, які пропонують людям завантажити файл Microsoft Office Word, нібито для перегляду їхнього «місячного звіту про зарплату». Цілі отримують детальні інструкції щодо доступу до захищеного паролем файлу «звіту», який в кінцевому підсумку забезпечує сумнозвісний NetSupport RAT, зловмисне програмне забезпечення відокремилося від законного NetSupport Manager, законно корисний інструмент віддаленої технічної підтримки. Зловмисники раніше використовували RAT для відбитків систем перед тим, як завантажувати на них програми-вимагачі.

«Створений для прихованого спостереження та контролю, він перетворює дистанційне адміністрування на платформу для кібератак і крадіжки даних», — експерт з веб-безпеки Perception Point Аріель Девідпур. виявлено у дописі в блозі, опублікованому цього тижня.

Після встановлення на кінцевій точці жертви NetSupport може відстежувати поведінку, фіксувати натискання клавіш, передавати файли, захоплювати системні ресурси та переміщатися на інші пристрої в мережі, «все під виглядом доброякісного програмного забезпечення віддаленої підтримки», — написав він.

Метод уникнення OLE від NetSupport RAT

Кампанія представляє новий метод доставки для NetSupport RAT за допомогою маніпулювання шаблонами зв’язування та вбудовування об’єктів (OLE). Це «тонкий метод експлуатації», який використовує законні шаблони документів Microsoft Office для виконання шкідливого коду, уникаючи виявлення, написав Девідпур. 

Якщо користувач завантажує файл .docx, доданий до повідомлень кампанії, і використовує супровідний пароль для доступу до нього, вміст документа додатково вказує цілям натиснути «ввімкнути редагування», а потім клацнути зображення принтера, вбудованого в документ у щоб переглянути їхній «графік зарплат».

Зображення принтера насправді є пакетом OLE, законною функцією Microsoft Windows, яка дозволяє вбудовувати документи та інші об’єкти та посилатися на них. «Його законне використання дозволяє користувачам створювати складні документи з елементами з різних програм», — написав Девідпур.

За допомогою маніпуляцій з шаблоном OLE зловмисники використовують шаблони документів для виконання шкідливого коду без виявлення, приховуючи корисне навантаження за межами документа. За даними Perceptive Point, у цій кампанії вперше цей процес було використано в електронному листі до служби доставки NetSupport RAT.

«Ця вдосконалена техніка обходить традиційні системи безпеки, приховуючи зловмисне корисне навантаження за межами документа та запускаючись лише після взаємодії користувача», — пояснив Девідпур.

Дійсно, використовуючи зашифровані файли .doc для доставки NetSupport RAT через шаблон OLE та впровадження шаблону (CWE T1221), кампанія PhantomBlu відходить від звичайних тактик, методів і процедур (TTP), які зазвичай пов’язані з NetSupport Розгортання RAT.

«Історично такі кампанії покладалися безпосередньо на виконувані файли та простіші методи фішингу», — написав Девідпур. Метод OLE демонструє інноваційність кампанії, яка полягає в поєднанні «складної тактики ухилення з соціальною інженерією», – написав він.

Приховування за легітимністю

У своєму дослідженні кампанії дослідники Perception Point крок за кроком проаналізували метод доставки, виявивши, що, як і сам RAT, корисне навантаження ховається за легітимністю намагаючись пройти під радаром.

Зокрема, Perceptive Point проаналізувала зворотний шлях та ідентифікатор повідомлення фішингових електронних листів, спостерігаючи за використанням зловмисниками «SendInBlue» або сервіс Brevo. Brevo — це законна платформа доставки електронної пошти, яка пропонує послуги для маркетингових кампаній.

«Цей вибір підкреслює перевагу зловмисників використовувати авторитетні служби, щоб замаскувати свої зловмисні наміри», — написав Девідпур.

Уникнення компромісу

Оскільки PhantomBlu використовує електронну пошту як спосіб доставки зловмисного програмного забезпечення, звичайні методи уникнення компромісу, такі як інструкції та навчання працівників про те, як виявляти потенційно шкідливі листи та повідомляти про них — подайте заявку.

За загальним правилом, люди ніколи не повинні натискати вкладення електронної пошти, якщо вони не надходять з надійного джерела або від когось, з ким користувачі регулярно листуються, кажуть експерти. Крім того, корпоративні користувачі особливо повинні повідомляти про підозрілі повідомлення ІТ-адміністраторам, оскільки вони можуть свідчити про ознаки зловмисної кампанії.

Щоб додатково допомогти адміністраторам ідентифікувати PhantomBlu, Perceptive Point включив у допис блогу вичерпний список TTP, індикаторів компрометації (IOC), URL-адрес та імен хостів, а також IP-адрес, пов’язаних із кампанією.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole