Een geavanceerde phishing-campagne tegen de VS. Organisaties hebben een trojan voor externe toegang geïmplementeerd, bekend als NetSupport RAT. Dubbed “Operatie PhantomBlu,” de activiteit is geweest nauwlettend gevolgd van het Israëlische cyberbeveiligingsbedrijf Perception Point.
Dat zegt veiligheidsonderzoeker Ariel Davidpur, de PhantomBlu-operatie toont een verfijnde benadering van exploitatietactieken. In tegenstelling tot de typische leveringsmethoden die verband houden met NetSupport RAT, de aanvallers hebben Object Linking en Embedding gebruikt (NO) sjabloon manipulatie. Door gebruik te maken van Microsoft Office-documentsjablonen, ze voeren kwaadaardige code uit terwijl ze detectie omzeilen.
NetSupport-RAT, een illegale variant van de legitieme externe desktop-tool NetSupport Manager, biedt bedreigingsactoren een breed spectrum aan mogelijkheden voor het verzamelen van gegevens op gecompromitteerde eindpunten.
Phishing-tactieken en Microsoft Office-exploitatie
De aanval begint met a phishing e-mail vermomd als een mededeling van de boekhoudafdeling van de organisatie. De e-mail, thema rond salarisrapporten, vraagt ontvangers om een bijgevoegd Microsoft Word-document met de titel te openen “Maandelijks salarisrapport.”
Bij nader onderzoek van de e-mailheaders blijkt dat de aanvallers gebruik maken van het legitieme e-mailmarketingplatform Brevo (voorheen Sendinblue).
Bij het openen van het Word-document, ontvangers worden geïnstrueerd om een opgegeven wachtwoord in te voeren en bewerking mogelijk te maken. Vervolgens wordt hen gevraagd te dubbelklikken op een printerpictogram in het document om een salarisgrafiek te bekijken. Deze actie initieert het openen van een ZIP-archiefbestand (“Grafiek20072007.zip”) met daarin een Windows-snelkoppelingsbestand. Dit bestand fungeert als een PowerShell-dropper, het ophalen en uitvoeren van een NetSupport RAT-binair bestand van een externe server.
Davidpur benadrukt de innovatie van Operatie PhantomBlu door het combineren van geavanceerde ontwijkingstactieken met social engineering. Het gebruik van gecodeerde .docs en OLE-sjablooninjectie om NetSupport RAT te leveren, wijkt af van conventionele tactieken, het verbeteren van de stealth en effectiviteit van de campagne.
Exploitatie van cloudplatforms en populaire CDN's
tegelijkertijd, cyberbeveiligingsexperts hebben hun bezorgdheid geuit over het toenemende misbruik van openbare clouddiensten en internet 3.0 data-hostingplatforms door bedreigingsactoren. Diensten zoals Dropbox, GitHub, IBM-wolk, en Oracle Cloud Storage, evenals platforms zoals Pinata gebouwd op het InterPlanetary File System (IPFS) protocol, worden uitgebuit om volledig niet-detecteerbare phishing-URL's te genereren met behulp van phishing-kits.
Deze kwaadaardige URL's, algemeen bekend als FUD (volledig Undetectable) koppelingen, worden verkocht door ondergrondse verkopers op platforms zoals Telegram. Ze zijn geprijsd vanaf $200 per maand en zijn beveiligd achter antibotbarrières om detectie te omzeilen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: