Kötü amaçlı bir e-posta kampanyası, ABD merkezli kuruluşlardaki yüzlerce Microsoft Office kullanıcısını hedef alıyor. uzaktan erişim truva atı (RAT) Kısmen meşru bir yazılım gibi görünerek tespitten kaçan bir yazılım.
Perception Point’teki araştırmacılar tarafından “PhantomBlu” adı verilen bir kampanyada, saldırganlar, insanları sözde “aylık maaş raporlarını” görüntülemek için bir Microsoft Office Word dosyasını indirmeye davet eden e-posta mesajlarında bir muhasebe hizmetinin kimliğine bürünüyor. Hedefler, şifre korumalı “rapor” dosyasına erişim için ayrıntılı talimatlar alır ve bu da sonuçta kötü şöhretli bilgiyi sunar. NetDestek RATkötü amaçlı yazılım yasal olandan türetilmiştir Net Destek Yöneticisi, meşru olarak faydalı bir uzaktan teknik destek aracı. Tehdit aktörleri daha önce RAT’ı sistemlere fidye yazılımı göndermeden önce ayak izi tutmak için kullanıyordu.
Perception Point Web güvenliği uzmanı Ariel Davidpur, “Gizli gözetleme ve kontrol için tasarlanan bu sistem, uzaktan yönetimi siber saldırılar ve veri hırsızlığı için bir platforma dönüştürüyor.” açıklığa kavuşmuş bu hafta yayınlanan bir blog yazısında.
NetSupport, bir kurbanın uç noktasına yüklendikten sonra davranışları izleyebilir, tuş vuruşlarını yakalayabilir, dosya aktarabilir, sistem kaynaklarını devralabilir ve ağ içindeki diğer cihazlara geçebilir; bunların hepsi “iyi huylu bir uzaktan destek yazılımı kisvesi altında” diye yazdı.
NetSupport RAT’ın Kaçınma OLE Teslim Yöntemi
Kampanya, Nesne Bağlama ve Gömme (OLE) şablonlarının manipülasyonu yoluyla NetSupport RAT için yeni bir dağıtım yöntemini temsil ediyor. Davidpur, bunun, tespit edilmekten kaçınırken kötü amaçlı kod yürütmek için meşru Microsoft Office belge şablonlarını kullanan “incelikli bir yararlanma yöntemi” olduğunu yazdı.
Bir kullanıcı kampanya mesajlarına eklenmiş olan.docx dosyasını indirirse ve ona erişmek için beraberindeki şifreyi kullanırsa, belgenin içeriği ayrıca hedeflere “düzenlemeyi etkinleştir” seçeneğini tıklamaları ve ardından belgeye gömülü bir yazıcının resmine tıklamaları talimatını verir. “maaş grafiğini” görüntülemek için.
Yazıcı görüntüsü aslında bir OLE paketidir; Microsoft Windows’un belgelere ve diğer nesnelere gömülmesine ve bunlara bağlantı verilmesine olanak tanıyan yasal bir özelliğidir. Davidpur, “Meşru kullanımı, kullanıcıların farklı programlardan öğeler içeren bileşik belgeler oluşturmasına olanak tanıyor” diye yazdı.
Tehdit aktörleri, OLE şablonu manipülasyonu yoluyla, yükü belgenin dışına gizleyerek, tespit edilmeden kötü amaçlı kod yürütmek için belge şablonlarından yararlanır. Perceptive Point’e göre kampanya, NetSupport RAT’ın e-posta yoluyla teslimi için bu sürecin kullanıldığı ilk sefer.
Davidpur, “Bu gelişmiş teknik, kötü amaçlı yükü belgenin dışında gizleyerek ve yalnızca kullanıcı etkileşimi üzerine yürütülerek geleneksel güvenlik sistemlerini atlıyor” dedi.
Aslında, PhantomBlu kampanyası, NetSupport RAT’ı OLE şablonu ve şablon enjeksiyonu (CWE T1221) aracılığıyla iletmek için şifrelenmiş .doc dosyalarını kullanarak, NetSupport ile yaygın olarak ilişkilendirilen geleneksel taktikler, teknikler ve prosedürlerden (TTP’ler) ayrılır. RAT dağıtımları.
Davidpur, “Tarihsel olarak bu tür kampanyalar, yürütülebilir dosyalara ve daha basit kimlik avı tekniklerine daha çok doğrudan dayanıyordu” diye yazdı. OLE yönteminin, kampanyanın “sofistike kaçınma taktiklerini sosyal mühendislikle” harmanlama konusundaki yeniliğini gösterdiğini yazdı.
Meşruluğun Ardına Saklanmak
Kampanyaya ilişkin araştırmalarında Perception Point araştırmacıları teslimat yöntemini adım adım incelediler ve RAT’ın kendisi gibi yükün de olduğunu keşfettiler. meşruluğun arkasına saklanıyor radarın altından uçma çabası içinde.
Perceptive Point özellikle kimlik avı e-postalarının dönüş yolunu ve mesaj kimliğini analiz ederek saldırganların “SendInBlue” veya Brevo hizmeti. Brevo, pazarlama kampanyaları için hizmetler sunan meşru bir e-posta dağıtım platformudur.
Davidpur, “Bu seçim, saldırganların kötü niyetlerini maskelemek için saygın hizmetlerden yararlanma tercihinin altını çiziyor” diye yazdı.
Uzlaşmadan Kaçınmak
PhantomBlu, kötü amaçlı yazılım dağıtma yöntemi olarak e-postayı kullandığından, uzlaşmayı önlemek için talimat verme ve gönderme gibi genel teknikler kullanılır. çalışanları eğitmek Potansiyel olarak kötü amaçlı e-postaların nasıl tespit edileceği ve raporlanacağı hakkında – başvurun.
Uzmanlar, genel bir kural olarak, güvenilir bir kaynaktan veya kullanıcıların düzenli olarak iletişim kurduğu birinden gelmediği sürece insanların e-posta eklerine asla tıklamaması gerektiğini söylüyor. Ayrıca kurumsal kullanıcılar, kötü niyetli bir kampanyanın işareti olabileceğinden şüpheli mesajları özellikle BT yöneticilerine bildirmelidir.
Perceptive Point, yöneticilere PhantomBlu’yu tanımlama konusunda daha fazla yardımcı olmak için blog gönderisine kampanyayla ilişkili TTP’lerin, tehlike göstergelerinin (IOC’ler), URL’lerin ve ana bilgisayar adlarının ve IP adreslerinin kapsamlı bir listesini ekledi.