Исследователи безопасности компании Perception Point обнаружили кампанию PhantomBlu, направленную на американские организации и использующую NetSupport RAT с помощью сложных методов уклонения и тактики социальной инженерии.
Злоумышленники использовали легитимные функции инструментов удаленного администрирования, таких как NetSupport Manager, для таких вредоносных действий, как слежка, кейлоггинг, передача файлов и управление системой. Кампания использовала манипуляции с шаблонами OLE в документах Microsoft Office для скрытия и выполнения вредоносного кода, обходя традиционные системы безопасности. Проанализировав фишинговые письма и полезную нагрузку, исследователи выявили, что злоумышленники предпочитали использовать авторитетные платформы доставки электронной почты и сложные техники работы с дропперами PowerShell. Операция PhantomBlu представляет собой эволюцию в стратегиях доставки вредоносного ПО, сочетая передовые методы уклонения с социальной инженерией для эффективной компрометации целевых организаций.
Indicators of Compromise
IPv4
- 173.252.167.50
- 192.236.192.48
- 199.188.205.15
- 46.105.141.54
Domains
- firstieragency.com
- parabmasale.com
- tapouttv28.com
- yourownmart.com
SHA256
- 16e6dfd67d5049ffedb8c55bee6ad80fc0283757bc60d4f12c56675b1da5bf61
- 1abf56bc5fbf84805ed0fbf28e7f986c7bb2833972793252f3e358b13b638bb1
- 89f0c8f170fe9ea28b1056517160e92e2d7d4e8aa81f4ed696932230413a6ce1
- 94499196a62341b4f1cd10f3e1ba6003d0c4db66c1eb0d1b7e66b7eb4f2b67b6
- 95898c9abce738ca53e44290f4d4aa4e8486398de3163e3482f510633d50ee6c
- d07323226c7be1a38ffd8716bc7d77bdb226b81fd6ccd493c55b2711014c0188