แคมเปญอีเมลที่เป็นอันตรายกำหนดเป้าหมายผู้ใช้ Microsoft Office หลายร้อยรายในองค์กรในสหรัฐฯ เพื่อส่ง โทรจันการเข้าถึงระยะไกล (RAT) ที่หลบเลี่ยงการตรวจจับ บางส่วนโดยแสดงเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

ในแคมเปญที่ชื่อว่า “PhantomBlu” โดยนักวิจัยที่ Perception Point ผู้โจมตีแอบอ้างเป็นบริการด้านบัญชีในข้อความอีเมลที่เชิญผู้คนให้ดาวน์โหลดไฟล์ Microsoft Office Word โดยอ้างว่าเพื่อดู “รายงานเงินเดือนรายเดือน” เป้าหมายจะได้รับคำแนะนำโดยละเอียดสำหรับการเข้าถึงไฟล์ “รายงาน” ที่มีการป้องกันด้วยรหัสผ่าน ซึ่งท้ายที่สุดจะส่งมอบไฟล์ที่ฉาวโฉ่ NetSupport หนูมัลแวร์แยกตัวออกมาจากสิ่งถูกกฎหมาย ผู้จัดการฝ่ายสนับสนุนเน็ตซึ่งเป็นเครื่องมือสนับสนุนด้านเทคนิคระยะไกลที่มีประโยชน์ตามกฎหมาย ก่อนหน้านี้ผู้คุกคามเคยใช้ RAT เพื่อติดตามระบบก่อนที่จะส่งแรนซัมแวร์ใส่พวกเขา

“ได้รับการออกแบบทางวิศวกรรมเพื่อการเฝ้าระวังและการควบคุมที่ซ่อนเร้น โดยเปลี่ยนการดูแลระบบระยะไกลให้เป็นแพลตฟอร์มสำหรับการโจมตีทางไซเบอร์และการโจรกรรมข้อมูล” Ariel Davidpur ผู้เชี่ยวชาญด้านความปลอดภัยของ Perception Point Web เปิดเผย ในบล็อกโพสต์ที่เผยแพร่ในสัปดาห์นี้

เมื่อติดตั้งบนปลายทางของเหยื่อแล้ว NetSupport จะสามารถตรวจสอบพฤติกรรม จับการกดแป้นพิมพ์ ถ่ายโอนไฟล์ ครอบครองทรัพยากรระบบ และย้ายไปยังอุปกรณ์อื่น ๆ ภายในเครือข่าย “ทั้งหมดนี้อยู่ภายใต้หน้ากากของซอฟต์แวร์สนับสนุนระยะไกลที่ไม่เป็นอันตราย” เขาเขียน

วิธีการจัดส่ง Evasive OLE ของ NetSupport RAT

แคมเปญนี้แสดงถึงวิธีการจัดส่งแบบใหม่สำหรับ NetSupport RAT ผ่านการจัดการเทมเพลต Object Linking and Embedding (OLE) Davidpur เขียนว่า "วิธีการแสวงหาผลประโยชน์ที่เหมาะสมยิ่ง" ที่ใช้เทมเพลตเอกสาร Microsoft Office ที่ถูกต้องตามกฎหมายเพื่อรันโค้ดที่เป็นอันตรายในขณะที่หลบเลี่ยงการตรวจจับ 

หากผู้ใช้ดาวน์โหลดไฟล์ .docx ที่แนบมากับข้อความของแคมเปญ และใช้รหัสผ่านที่แนบมาเพื่อเข้าถึง เนื้อหาของเอกสารจะแนะนำให้เป้าหมายคลิก “เปิดใช้งานการแก้ไข” จากนั้นให้คลิกรูปภาพของเครื่องพิมพ์ที่ฝังอยู่ในเอกสารในนั้น เพื่อดู “กราฟเงินเดือน”

อิมเมจของเครื่องพิมพ์จริงๆ แล้วเป็นแพ็คเกจ OLE ซึ่งเป็นฟีเจอร์ที่ถูกต้องใน Microsoft Windows ที่อนุญาตให้ฝังและลิงก์ไปยังเอกสารและวัตถุอื่นๆ “การใช้งานที่ถูกต้องตามกฎหมายช่วยให้ผู้ใช้สามารถสร้างเอกสารประกอบที่มีองค์ประกอบจากโปรแกรมต่างๆ” Davidpur เขียน

ด้วยการจัดการเทมเพลต OLE ผู้คุกคามจะใช้ประโยชน์จากเทมเพลตเอกสารเพื่อรันโค้ดที่เป็นอันตรายโดยไม่มีการตรวจจับโดยการซ่อนเพย์โหลดไว้ภายนอกเอกสาร แคมเปญนี้เป็นครั้งแรกที่ใช้กระบวนการนี้ในอีเมลเพื่อจัดส่ง NetSupport RAT ตาม Perceptive Point

“เทคนิคขั้นสูงนี้เลี่ยงระบบรักษาความปลอดภัยแบบเดิมโดยการซ่อนเพย์โหลดที่เป็นอันตรายไว้นอกเอกสาร โดยจะดำเนินการเฉพาะเมื่อมีปฏิสัมพันธ์กับผู้ใช้เท่านั้น” Davidpur อธิบาย

แท้จริงแล้ว ด้วยการใช้ไฟล์ .doc ที่เข้ารหัสเพื่อส่ง NetSupport RAT ผ่านเทมเพลต OLE และการแทรกเทมเพลต (CWE T1221) แคมเปญ PhantomBlu จะแยกออกจากกลยุทธ์ เทคนิค และขั้นตอนทั่วไป (TTP) ที่มักเกี่ยวข้องกับ NetSupport การใช้งาน RAT.

“ในอดีต แคมเปญดังกล่าวอาศัยไฟล์ปฏิบัติการโดยตรงมากกว่าและเทคนิคฟิชชิ่งที่ง่ายกว่า” Davidpur เขียน วิธีการ OLE แสดงให้เห็นถึงนวัตกรรมของแคมเปญที่ผสมผสาน "กลยุทธ์การหลีกเลี่ยงที่ซับซ้อนเข้ากับวิศวกรรมทางสังคม" เขาเขียน

ซ่อนอยู่เบื้องหลังความชอบธรรม

ในการสืบสวนแคมเปญนี้ นักวิจัยของ Perception Point ได้วิเคราะห์วิธีการจัดส่งทีละขั้นตอน และค้นพบว่าเพย์โหลดก็เหมือนกับ RAT นั่นเอง ซ่อนอยู่เบื้องหลังความชอบธรรม ในความพยายามที่จะบินไปใต้เรดาร์

โดยเฉพาะ Perceptive Point วิเคราะห์เส้นทางการส่งคืนและรหัสข้อความของอีเมลฟิชชิ่ง โดยสังเกตการใช้ “ส่งอินบลู” หรือบริการ Brevo Brevo เป็นแพลตฟอร์มการส่งอีเมลที่ถูกต้องตามกฎหมายซึ่งให้บริการสำหรับแคมเปญการตลาด

“ตัวเลือกนี้ตอกย้ำความต้องการของผู้โจมตีในการใช้บริการที่มีชื่อเสียงเพื่อปกปิดเจตนาร้าย” Davidpur เขียน

หลีกเลี่ยงการประนีประนอม

เนื่องจาก PhantomBlu ใช้อีเมลเป็นวิธีการในการส่งมัลแวร์ เทคนิคปกติในการหลีกเลี่ยงการประนีประนอม — เช่น การสอนและ อบรมพนักงาน เกี่ยวกับวิธีระบุและรายงานอีเมลที่อาจเป็นอันตราย — นำไปใช้

ตามกฎทั่วไปแล้ว ผู้คนไม่ควรคลิกไฟล์แนบในอีเมล เว้นแต่จะมาจากแหล่งที่เชื่อถือได้หรือจากบุคคลที่ผู้ใช้ติดต่อด้วยเป็นประจำ ผู้เชี่ยวชาญกล่าว นอกจากนี้ ผู้ใช้ในองค์กรควรรายงานข้อความที่น่าสงสัยไปยังผู้ดูแลระบบไอทีโดยเฉพาะ เนื่องจากอาจบ่งบอกถึงสัญญาณของแคมเปญที่เป็นอันตราย

เพื่อช่วยผู้ดูแลระบบในการระบุ PhantomBlu เพิ่มเติม Perceptive Point ได้รวมรายการ TTP ตัวบ่งชี้การประนีประนอม (IOC) URL และชื่อโฮสต์ และที่อยู่ IP ที่เกี่ยวข้องกับแคมเปญไว้ในบล็อกโพสต์

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole