Operation PhantomBlu Phishing-angreb bruger MS-dokumenter til at levere NetSupport RAT

En sofistikeret phishing-kampagne mod USA. organisationer har implementeret en fjernadgangstrojan kendt som NetSupport RAT. Døbt “Operation PhantomBlu,” aktiviteten har været nøje overvåget af det israelske cybersikkerhedsfirma Perception Point.

Ifølge sikkerhedsforsker Ariel Davidpur, PhantomBlu-operationen viser en raffineret tilgang til udnyttelsestaktikker. I modsætning til typiske leveringsmetoder forbundet med NetSupport RAT, angriberne har brugt Object Linking og Embedding (NEJ) skabelon manipulation. Ved at udnytte Microsoft Office-dokumentskabeloner, de udfører ondsindet kode, mens de undgår opdagelse.

NetSupport RAT, en illegitim variant af det legitime fjernskrivebordsværktøj NetSupport Manager, giver trusselsaktører et bredt spektrum af dataindsamlingsmuligheder på kompromitterede endepunkter.

Phishing-taktik og Microsoft Office-udnyttelse

Angrebet begynder med en phishing e-mail forklædt som en kommunikation fra organisationens regnskabsafdeling. E-mailen, tema omkring lønrapporter, beder modtagerne om at åbne et vedhæftet Microsoft Word-dokument med titlen “Månedlig lønrapport.”

En nærmere undersøgelse af e-mail-headerne afslører, at angriberne bruger den legitime e-mail-marketingplatform Brevo (tidligere Sendinblue).

Ved åbning af Word-dokumentet, modtagere bliver bedt om at indtaste et givet kodeord og aktivere redigering. De bliver derefter bedt om at dobbeltklikke på et printerikon i dokumentet for at se en løngraf. Denne handling starter åbningen af en ZIP-arkivfil (“Chart20072007.zip”) indeholdende en Windows-genvejsfil. Denne fil fungerer som en PowerShell dropper, hente og udføre en NetSupport RAT-binær fra en ekstern server.

Davidpur fremhæver innovationen i Operation PhantomBlu ved at blande sofistikerede undvigelsestaktikker med social engineering. Brugen af krypterede .docs og OLE-skabeloninjektion til at levere NetSupport RAT repræsenterer en afvigelse fra konventionel taktik, forbedre kampagnens stealth og effektivitet.

Udnyttelse af cloud-platforme og populære CDN'er

Samtidigt, cybersikkerhedseksperter har rejst bekymringer om det voksende misbrug af offentlige cloud-tjenester og web 3.0 data-hosting-platforme af trusselsaktører. Tjenester som Dropbox, GitHub, IBM Cloud, og Oracle Cloud Storage, samt platforme som Pinata bygget på InterPlanetary File System (IPFS) protokol, bliver udnyttet til at generere fuldstændigt uopdagelige phishing-URL'er ved hjælp af phishing-sæt.

Disse ondsindede URL'er, almindeligvis kendt som FUD (Fuldt målbart) links, sælges af underjordiske leverandører på platforme som Telegram. De er prissat fra kl $200 om måneden og er sikret bag antibot-barrierer for at undgå opdagelse.