Perception Point 安全研究人员最近发现了一项新出现的针对美国组织的活动。被称为“PhantomBlu”的新兴恶意软件活动采用新的 TTP 和行为来逃避检测并部署臭名昭著的 NetSupport RAT。此活动标志着恶意软件攻击方法的复杂性,利用远程管理工具的合法功能来达到邪恶目的。
Teaching an Old RAT Some New Tricks
NetSupport RAT是合法NetSupport Manager的衍生产品,NetSupport Manager 是一款远程技术支持应用程序,体现了强大的 IT 工具如何被盗用为恶意软件。它专为秘密监视和控制而设计,可将远程管理转变为网络攻击和数据盗窃的平台。该远程访问特洛伊木马助长了一系列恶意活动。一旦安装在受害者的端点上,NetSupport 就可以监视行为、捕获击键(键盘记录器)、传输文件、征用系统资源以及移动到网络内的其他设备 - 所有这些都在良性远程支持软件的幌子下进行。
PhantomBlu 操作引入了一种微妙的利用方法,与 NetSupport RAT 的典型交付机制不同,它利用 OLE(对象链接和嵌入)模板操作,利用 Microsoft Office 文档模板执行恶意代码,同时逃避检测。
这种先进的技术通过将恶意负载隐藏在文档之外,仅在用户交互时执行,从而绕过传统的安全系统。
解码 PhantomBlu:深入探讨高级 TTP
在 Perception Point 阻止的活动中,美国各个组织的数百名员工收到了看似来自会计服务机构的电子邮件。威胁行为者利用社会工程诱骗收件人下载随附的 Office Word 文件 (.docx) 以查看他们的“月度工资报告”。
在电子邮件正文中,攻击者包含了访问受密码保护的“报告”的详细说明。
图1:系统提示目标输入密码“1”并单击“启用编辑”
通过分析网络钓鱼电子邮件的返回路径和消息 ID,我们观察到“ SendInBlue ”或 Brevo 服务的使用情况,这是一个为营销活动提供服务的合法电子邮件传送平台。这种选择强调了攻击者更喜欢利用信誉良好的服务来掩盖他们的恶意意图。
图2:返回路径数据
图 3:消息 ID 数据
下载并访问附加的 .docx 文件后,目标会被要求插入提供的密码。
图4:输入密码打开文件
该文档的内容进一步指示目标单击“启用编辑”,然后单击嵌入在文档中的打印机图像以查看其“工资图表”。可点击打印机实际上是一个 OLE 包,这是 Microsoft Windows 中的一项功能,允许嵌入和链接到文档和其他对象。它的合法使用使用户能够使用来自不同程序的元素创建复合文档。
通过此步骤,PhantomBlu 的活动利用了一种称为 OLE模板操作(防御规避 - T1221)的 TTP ,利用文档模板在不被发现的情况下执行恶意代码。这种先进的技术通过将有效负载隐藏在文档之外,仅在用户交互时执行,从而绕过了传统的安全措施。
这是首次在尝试通过电子邮件传送 NetSupport RAT 时观察到 T1221。
图 5:“由于文件受保护,在线预览不可用。如果薪资图表不可用,请启用编辑。然后,双击打印机图标即可查看您的工资图表”
单击打印机图标将打开一个包含一个 LNK 文件的存档 .zip 文件。
图6:打开隐藏内容
图 7:查看包含 LNK 文件的 zip
剖析恶意软件:从引诱到控制
在对 LNK 文件的取证分析中,我们剖析了其负载和执行行为。该文件被识别为 PowerShell dropper,旨在从指定 URL 检索并执行脚本。
图 8:检查链接的代码
经过仔细检查,该脚本被混淆以掩盖其真实意图,其中包含另一个 URL、ZIP 文件、NetSupport RAT 的可执行文件以及旨在保持 RAT 活动的注册表项等元素。
图 9:从 URL 中提取的混淆后的 PowerShell
经过更深入的研究,我们对 PowerShell 脚本进行了去混淆处理,以阐明其操作。它精心策划从获取的 URL 创建辅助 ZIP 文件,将其解压,然后导航到提取的目录以激活 NetSupport RAT。此过程最终在“HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun”中建立一个新的注册表项,确保恶意软件的自动启动,从而确保其持久性。
图 10:对代码进行反混淆
我们的调查工作扩展到访问辅助 URL,揭示了用户代理门控的有效负载传输。绕过这个,我们通过 PowerShell 获取了有效负载,反映了攻击者的方法。
图 11:检索隐藏内容 – 第二个 zip 文件
对提取内容的进一步分析证实了 ZIP 文件的部署,如脚本中所述。执行辅助 PowerShell 脚本(没有删除例程)会生成“Client32.exe”文件 — NetSupport RAT。对配置文件的检查揭示了命令和控制(C2)服务器,强调了 PhantomBlu 的通信骨干和操作指令。
图 12:NetSupport RAT 的 C2 服务器
超越逃避:“递归解包器”揭开了 PhantomBlu 的秘密
通过使用加密的 .docs 通过 OLE 模板和模板注入 (T1221) 交付 NetSupport RAT,PhantomBlu 标志着与通常与 NetSupport RAT 部署相关的传统 TTP 的背离。从历史上看,此类活动更直接依赖于可执行文件和更简单的网络钓鱼技术,这展示了 PhantomBlu 在将复杂的规避策略与社会工程相结合方面的创新。
Perception Point 的专有反规避模型Recursive Unpacker精心解构了 PhantomBlu 威胁行为者所采用的多层混淆和规避技术。从电子邮件本身到提取隐藏在模板操作后面的最后一个 LNK 文件。
图 13:Perception Point 的高级检测引擎解压 PhantomBlu“攻击树”
IOC
哈希值 (SHA-256)
Email – 16e6dfd67d5049ffedb8c55bee6ad80fc0283757bc60d4f12c56675b1da5bf61
Docx – 1abf56bc5fbf84805ed0fbf28e7f986c7bb2833972793252f3e358b13b638bb1
Injected ZIP – 95898c9abce738ca53e44290f4d4aa4e8486398de3163e3482f510633d50ee6c
LNK file – d07323226c7be1a38ffd8716bc7d77bdb226b81fd6ccd493c55b2711014c0188
Final ZIP – 94499196a62341b4f1cd10f3e1ba6003d0c4db66c1eb0d1b7e66b7eb4f2b67b6
Client32.exe – 89f0c8f170fe9ea28b1056517160e92e2d7d4e8aa81f4ed696932230413a6ce1
URL 和主机名
yourownmart[.]com/solar[.]txt
firstieragency[.]com/depbrndksokkkdkxoqnazneifidmyyjdpji[.]txt
yourownmart[.]com
Firstieragency[.]com
parabmasale[.]com
Tapouttv28[.]com
IP地址
192[.]236[.]192[.]48
173[.]252[.]167[.]50
199[.]188[.]205[.]15
46[.]105[.]141[.]54
其他的
Message ID contains: “sendinblue.com”
Return Path contains: “sender-sib.com”
参考链接: https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/
图片来源网络目标可联系删除