米国に対する巧妙なフィッシング活動. 組織は NetSupport RAT として知られるリモート アクセス トロイの木馬を導入しています。. 吹き替え “ファントムブルー作戦,” 活動は行われています 厳重に監視される イスラエルのサイバーセキュリティ企業Perception Pointによる.
セキュリティ研究者のアリエル・デイビッドプール氏によると、, PhantomBlu 作戦は、搾取戦術に対する洗練されたアプローチを示しています. NetSupport RAT に関連する一般的な配信方法とは異なります, 攻撃者はオブジェクトのリンクと埋め込みを利用しています (OLE) テンプレートの操作. Microsoft Officeドキュメントテンプレートを活用することにより, 検出を回避しながら悪意のあるコードを実行します.
ネットサポート RAT, 正規のリモート デスクトップ ツール NetSupport Manager の非正規の亜種, 侵害されたエンドポイントでの幅広いデータ収集機能を脅威アクターに付与します。.
フィッシング戦術と Microsoft Office の悪用
攻撃は次から始まります フィッシングメール 組織の会計部門からの連絡を装った. Eメール, 給与レポートをテーマにした, というタイトルの添付された Microsoft Word ドキュメントを開くように受信者に求めます。 “月次給与報告書。”
電子メールのヘッダーを詳しく調べると、攻撃者が正規の電子メール マーケティング プラットフォーム Brevo を利用していることがわかります。 (以前はセンディンブルー).
Word文書を開いたとき, 受信者は、提供されたパスワードを入力して編集を有効にするよう指示されます。. 次に、ドキュメント内のプリンター アイコンをダブルクリックして給与グラフを表示するように求められます。. このアクションにより、ZIP アーカイブ ファイルが開きます。 (“チャート20072007.zip”) Windows ショートカット ファイルを含む. このファイルは PowerShell ドロッパーとして機能します, リモートサーバーから NetSupport RAT バイナリを取得して実行する.
Davidpur は、洗練された回避戦術とソーシャル エンジニアリングを融合したファントムブルー作戦の革新性を強調しています. NetSupport RAT を提供するために暗号化された .docs と OLE テンプレート インジェクションを使用することは、従来の戦術からの脱却を意味します。, キャンペーンのステルス性と有効性を高める.
クラウド プラットフォームと一般的な CDN の悪用
同時に, サイバーセキュリティの専門家は、パブリック クラウド サービスと Web の悪用が増加していることに懸念を表明しています 3.0 脅威アクターによるデータホスティングプラットフォーム. Dropboxのようなサービス, GitHub, IBMクラウド, およびOracle Cloud Storage, InterPlanetary File System 上に構築された Pinata のようなプラットフォームも同様です (IPFS) プロトコル, フィッシング キットを使用して、完全に検出不可能なフィッシング URL を生成するために悪用されています。.
これらの悪意のある URL, 一般的にはFUDとして知られています (完全に検出できない) リンク, Telegram などのプラットフォームでアンダーグラウンド ベンダーによって販売されています. 価格は以下からです $200 検出を回避するために、ボット対策バリアの背後で安全に保護されています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: