Вредоносный имплант PHANTOMPULSE использует блокчейн Ethereum для скрытого управления: защитники могут перехватить контроль через одну транзакцию

information security

Специалисты Elastic Security Labs завершили анализ сложного вредоносного импланта PHANTOMPULSE, который является финальной стадией атаки кластера REF6598. В предыдущих публикациях основное внимание уделялось доставке через плагины Obsidian и использованию загрузчика PHANTOMPULL. Теперь эксперты детально разобрали механизмы самого импланта, который выделяется необычной архитектурой управления и обилием следов применения средств автоматизированной разработки.

Описание

PHANTOMPULSE представляет собой модульную программу, написанную для операционной системы Windows. Она обладает тремя техниками внедрения вредоносного кода в легитимные процессы, обходит стандартные механизмы защиты Microsoft и использует блокчейн-сети для получения адреса командно-контрольного сервера. Последняя особенность особенно примечательна: разрешение C2 происходит через публичные реестры транзакций Ethereum, Base и Optimism. Имплант обращается к сервисам блокчейн-обозревателей, извлекает поле ввода последней транзакции, декодирует его и расшифровывает, используя адрес кошелька в качестве ключа. Полученная строка должна начинаться с http, иначе срабатывает жёстко прописанный запасной адрес.

Однако в этой схеме обнаружена критическая уязвимость. Разработчик PHANTOMPULSE не предусмотрел проверку отправителя транзакции. Имплант интересуется только тем, чтобы декодированное значение начиналось с http. Это означает, что любой желающий может отправить одну транзакцию на тот же кошелек, закодировав в ней собственный URL. Все экземпляры вредоноса, опрашивающие блокчейн, немедленно перенаправятся на этот адрес. По сути, защитники могут перехватить управление всей кампанией ценой комиссии за одну транзакцию.

Архитектура импланта явно указывает на активное применение больших языковых моделей при написании кода. Отладочные строки содержат характерные признаки автоматически генерируемого текста: нумерацию шагов вроде "[STEP 1]", маркеры входа и выхода из функций "ENTER" и "DONE", а также излишне подробные диагностические сообщения. Это нетипично для профессиональных вредоносных программ, написанных вручную, - обычно авторы стремятся минимизировать количество строк в бинарном файле.

Для обхода защитных механизмов PHANTOMPULSE применяет единый примитив на основе аппаратных точек останова. Вместо модификации кода библиотек (что легко обнаруживается антивирусами) имплант устанавливает точки останова на входы в функции AMSI, WLDP и ETW через регистры отладки DR0-DR3. Когда защищённая функция вызывается, процессор генерирует исключение, которое перехватывается собственным обработчиком исключений вредоноса. Обработчик подменяет возвращаемое значение, заставляя систему думать, что проверка выполнена успешно. Такой подход не оставляет следов в коде библиотек, что затрудняет сигнатурное обнаружение.

Сами техники внедрения заимствованы из недавних публичных концептуальных проектов. Shell-код внедряется через модуль-замещение (module stomping) в библиотеку dbghelp.dll. Исполняемые файлы запускаются с помощью отладочного API - техника, названная DbgNexum, скопирована из открытого репозитория. Динамические библиотеки внедряются через полное ручное отображение PE-файла с разрешением импорта и перенаправлением потока на заранее вычисленный трамплин.

Особого внимания заслуживает коллекция данных. PHANTOMPULSE не является стилером в классическом смысле - он не ворует пароли или криптовалюту самостоятельно. Вместо этого он собирает обширную информацию о системе: модель процессора, видеокарты, объём оперативной памяти, установленное антивирусное программное обеспечение, список приложений. Особый упор сделан на обнаружение криптовалютных кошельков, мессенджеров и клиентов электронной почты. Список включает Ledger, Trezor, Bitcoin Core, Electrum, Telegram, Discord, Outlook и другие. Полученные сведения отправляются на сервер управления, и оператор на их основе принимает решение о дальнейших действиях, например, о загрузке специализированного модуля для кражи именно тех активов, которые обнаружены у жертвы.

Эксперты Elastic Security Labs опубликовали не только описание угрозы, но и конкретные методы её выявления. Для обнаружения подобных имплантов предлагается анализировать транзакции в блокчейне по сигнатуре 0x580c - поскольку каждый зашифрованный URL начинается с этого четырёхсимвольного префикса. Также рекомендуется внедрить мониторинг обращений к сервисам блокчейн-обозревателей на конечных точках. Сама схема разрешения C2 через блокчейн, хотя и выглядит инновационной, страдает от указанной уязвимости, что даёт защитникам уникальный шанс не просто обнаружить, но и нейтрализовать инфраструктуру управления вредоносной сетью.

Анализ PHANTOMPULSE показывает, как современные угрозы комбинируют передовые методы обороны (аппаратные точки останова), модульную архитектуру и скрытые каналы связи. Использование шаблонов, сгенерированных искусственным интеллектом, становится новой нормой для авторов вредоносного кода, упрощая разработку, но одновременно оставляя характерные отпечатки, по которым можно выявлять подобные программы.

Индикаторы компрометации

IPv4

  • 195.3.222.251

Domains

  • 0x666.info
  • base.blockscout.com
  • eth.blockscout.com
  • fea22134.net
  • optimism.blockscout.com
  • panel.fefea22134.net
  • thoroughly-publisher-troy-clara.trycloudflare.com

SHA256

  • 33dacf9f854f636216e5062ca252df8e5bed652efd78b86512f5b868b11ee70f
  • 70bbb38b70fd836d66e8166ec27be9aa8535b3876596fc80c45e3de4ce327980
  • def66275fa3baffb16e6e4ae0297861d9790ae7161fbc271a2ba05d121f13c70

Сrypto wallet

  • 0x38796B8479fDAE0A72e5E7e326c87a637D0Cbc0E
  • 0xc117688c530b660e15085bF3A2B664117d8672aA

Индикаторы компрометации

Комментарии: 0