Phantom Enigma razotkrivena: Novi talas sajber napada

AUTOR ·

Operacija Phantom Enigma je složena kampanja sajber napada koja koristi zlonamjerna proširenja za internet pregledače Chrome, Edge i Brave kako bi ukrala osjetljive podatke od korisnika širom sveta, pokazuje istraživanje kompanije Positive Technologies. Vektor napada uključuje phishing elektronsku poštu sa prilozima ili vezama koji preuzimaju instalacijske programe sa zlonamjernim softverom.

Phantom Enigma

Phantom Enigma razotkrivena: Novi talas sajber napada; Source: Bing Image Creator

PHANTOM ENIGMA

Operacija Phantom Enigma odnosi se na zlonamjernu kampanju koja je prisutna od početka 2025. godine. Ova operacija uključuje phishing elektronsku poštu poslatu sa kompromitovanih poslovnih servera, što povećava vjerovatnoću uspješne infekcije među neopreznim korisnicima širom Brazila i nekoliko drugih zemalja. Ova elektronska pošta sadrži ili zlonamjerne priloge koji instaliraju proširenja za internet pregledače za Google Chrome, Microsoft Edge i Brave ili veze za preuzimanje instalacijskih programa sa zlonamjernim softverom.

 

Funkcionisanje

Napad počinje prilagođenim phishing porukama koje se šalju putem elektronske pošte, često maskiranim kao fakture ili važni dokumenti. Ove elektronske poruke mogu da sadrže zlonamjerne priloge (kao što su BAT ili MSI datoteke) ili linkove za preuzimanje za preuzimanje instalacijskih programa sa zlonamjernim softverom. Nakon izvršavanja, BAT skripte osiguravaju da se korisni teret pokreće sa administratorskim privilegijama i preuzima PowerShell skriptu. Ova skripta zatim provjerava da li se pokreće u virtuelnom okruženju, izbjegavajući analizu i izolovana okruženja (eng. sandboxing).

Jedna od najznačajnijih komponenti ove kampanje je raspoređivanje zlonamjernih proširenja internet pregledača putem manipulacije ključevima sistemskog registra. Ovo omogućava zlonamjernim akterima da tiho instaliraju lažna proširenja za internet pregledače iz spoljnih izvora ili lokalnih datoteka na internet pregledačima Google Chrome, Microsoft Edge i Brave. Ova proširenja su dizajnirana da presretnu bankarske akreditive i tokene za autentifikaciju, posebno ciljajući internet usluge Banke Brazila (por. Banco do Brasil). Zlonamjerni kôd u ovim proširenjima koristi pozadinski JavaScript za praćenje internet zahteva, snimanje podataka za prijavu i izvlačenje podataka na udaljene servere za komandovanje i kontrolu (C2).

 

Višestruki napadi

Sigurnosni istraživači su identifikovali da zlonamjerni akteri u operaciji Phantom Enigma koriste i napade proširenjima internet pregledača i alate za udaljeni pristup (eng. remote access tools – RAT) poput Mesh Agent i PDQ Connect Agent. Ovi alati za udaljeni pristup (RAT) se isporučuju putem MSI instalacijskih programa i mogu da inficiraju Windows, Linux i macOS sisteme na različitim arhitekturama procesora. Jednom instaliran, Mesh Agent se povezuje sa svojom infrastrukturom komande i kontrole (C2) putem bezbjednih WebSocket i HTTPS kanala, dajući zlonamjernim akterima potpunu daljinsku kontrolu nad ugroženim mrežama.

Ovaj viševektorski pristup omogućava zlonamjernim akterima da se po potrebi prebacuju između različitih vektora napada, što otežava braniocima da prate njihove evoluirajuće taktike. Za razliku od tradicionalnih napada zasnovanih na proširenjima koje otimaju sesiju jednog korisnika, primjena alata za udaljeni pristup (RAT) ugrožava cijelu organizacionu infrastrukturu omogućavajući zlonamjernim akterima da eskaliraju privilegije i šire se preko mreže.

Ova kampanja koristi više domena, često dijeleći istu IP adresu ili TLS certifikat. Ova grupisana infrastruktura je dizajnirana da prikrije atribuciju i olakša brzu zamjenu domena u slučaju uklanjanja. Sigurnosni istraživači su identifikovali nekoliko domena koje je koristila ova kampanja, uključujući computadorpj.com, clientepj.com i financial-executive.com.

Zlonamjerne ekstenzije se distribuiraju i putem Chrome internet prodavnice (sada uklonjene) i putem lokalnih tehnika ubrizgavanja koje modifikuju LNK datoteke internet pregledača da bi uključile parametar –load-extension. Ovo omogućava zlonamjernim akterima da učitaju kôd proširenja sačuvan u skrivenim direktorijumima bez znanja ili saglasnosti korisnika.

 

UTICAJ

Kako se zlonamjerna kampanja Phantom Enigma nastavlja razvijati, njen uticaj osjećaju stanovnici Brazila, kao i u Kolumbiji, Meksiku, Vijetnamu, Rusiji i Evropi. Primarni cilj ovog sofisticiranog napada izgleda da je krađa osjetljivih podataka za autentifikaciju, posebno od korisnika Banke Brazil. To je dovelo do toga da značajan broj brazilskih građana postane žrtva phishing elektronske pošte prerušenih u fakture koji ih mame da preuzmu zlonamjerne datoteke ili kliknu na obmanjujuće veze.

Uticaj operacije Phantom Enigma proteže se dalje od pojedinačnih žrtava, jer ugrožena infrastruktura i ukradeni akreditivi predstavljaju značajan rizik za cijele organizacije. Kako zlonamjerni akteri nastavljaju da usavršavaju svoje taktike, bezbjednosni timovi moraju ostati budni u praćenju mrežnog saobraćaja i ispitivanju sumnjivih domena.

Činjenica da je operacija Phantom Enigma otkrivena od početka 2025. godine ističe rastući trend viševektorskih napada usmjerenih na povećanje dometa žrtava i krađu podataka. Mješavina špijunaže zasnovane na internet pregledaču i infiltracije mreže vođene alatima za udaljeni pristup (RAT) u ovoj kampanji služi kao oštar podsjetnik organizacijama širom sveta na njihovu ranjivost na sofisticirane sajber prijetnje.

Sama razmjera ove kampanje je zapanjujuća, sa preko 700 potvrđenih preuzimanja zlonamjernih proširenja koje su prijavili sigurnosni istraživači. Zlonamjerni akteri se fokusiraju na krađu pristupnih podataka za internet bankarstvo, dok se organizacione žrtve koriste za slanje phishing elektronske pošte koji dodatno šire doseg zlonamjernog softvera. Ovaj viševektorski pristup pokazuje jasnu namjeru da se izazove maksimalna šteta i poremećaji na više frontova.

 

ZAKLJUČAK

Kampanja Phantom Enigma je sofisticirana zlonamjerna operacija prvenstveno usmjerena na stanovnike Brazila, a istovremeno utiče i na organizacije u Kolumbiji, Meksiku, Vijetnamu, Rusiji i Evropi. Primarni cilj ovog napada izgleda da je krađa osjetljivih podataka za autentifikaciju, posebno od korisnika Banke Brazil.

Strategija dvostrukog napada koristi se korišćenjem zlonamjernih proširenja internet pregledača za Google Chrome, Microsoft Edge i Brave, zajedno sa alatima za udaljeni pristup (RAT) kao što su Mesh Agent i PDQ Connect Agent. Ova kampanja počinje phishing elektronskom poštom koja se često šalju sa kompromitovanih servera kompanija kako bi se povećala legitimnost, usmjeravajući žrtve da preuzimaju datoteke sa sumnjivih domena.

Lanac napada uključuje isporuku BAT skripti i instalacijskih programa sa zlonamjernim softverom koji izvršavaju niz radnji kako bi osigurali postojanost i izbjegli otkrivanje. Phishing elektronska pošta je prilagođena sa temom faktura ili važnih dokumenta, koji sadrže zlonamjerne priloge kao što su BAT ili MSI datoteke ili veze za preuzimanje instalacijskih programa sa zlonamjernim softverom. Jednom izvršen, korisni teret preuzima PowerShell skriptu koja provjerava da li se izvršava u virtuelnom okruženju, izbjegavajući analizu i izolovana okruženja.

Tehnička složenost ovog napada leži u korišćenju različitih alata i skripti za postizanje postojanosti i izbjegavanje otkrivanja. Zlonamjerna proširenja internet pregledača presreću korisničke podatke za prijavu tokom pokušaja prijavljivanja, zajedno sa alatima za udaljeni pristup (RAT), omogućavajući šire kompromitovanje infrastrukture. Ova kampanja pokazuje važnost praćenja mehanizama postojanosti, ispitivanja mrežnog saobraćaja ka sumnjivim domenima i revizije instalacija proširenja internet pregledača.

Bezbjednosnim timovima se savjetuje da budu oprezni u identifikovanju phishing elektronske pošte koja može izgledati kao legitimna komunikacija sa kompromitovanih servera kompanije. Upotreba zlonamjernih priloga ili veza trebalo bi da izazove sumnju, podstičući dalju istragu potencijalnih bezbjednosnih prijetnji.

 

ZAŠTITA

Kako bi se efikasno suprotstavili operaciji Phantom Enigma, neophodan je višeslojni pristup. Evo nekoliko ključnih preporuka:

  1. Implementirati robusne mehanizme filtriranja elektronske pošte kako bi se otkrili i blokirali phishing elektronske poruke sa zlonamjernim prilozima ili vezama. Ovo se može postići korišćenjem naprednih alata za otkrivanje prijetnji koji analiziraju reputaciju pošiljaoca, analizu sadržaja i obrasce ponašanja;
  2. Redovno provjeravati proširenja internet pregledača instalirana na uređajima zaposlenih radi otkrivanja neovlaštenih unosa. Uvjeriti se da su korisnici svjesni važnosti provjere dozvola za proširenja i podstaknuti ih da blagovremeno prijave svaku sumnjivu aktivnost IT osoblju;
  3. Uvjeriti se da je sav softver, uključujući internet pregledače, ažuriran najnovijim bezbjednosnim ispravkama. Ovo uključuje Google Chrome, Microsoft Edge i Brave i druge aplikacije koje mogu biti meta zlonamjernog aktera iz operacije Phantom Enigma;
  4. Sprovoditi temeljne bezbjednosne revizije i vježbe penetracijskog testiranja kako bi se identifikovale ranjivosti u sistemu prije nego što ih zlonamjerni akteri iz operacije Phantom Enigma iskoriste;
  5. Dizajnirati mrežnu arhitekturu kroz segmentaciju mreže koja odvaja osjetljive podatke od manje bezbjednih područja, što otežava zlonamjernim akterima pristup kritičnim informacijama čak i ako dobiju početne tačke ulaska;
  6. Obezbijediti korisnicima sveobuhvatnu obuku o identifikovanju phishing elektronske pošte i izbjegavanju taktika društvenog inženjeringa koje koriste zlonamjerni akteri iz operacije Phantom Enigma. Ovo uključuje prepoznavanje sumnjivih veza ili priloga u elektronskoj pošti;
  7. Redovno praviti rezervne kopije kritičnih podataka, primjenjujući planove odgovora na sajber prijetnju kako bi se osigurao kontinuitet poslovanja u slučaju napada ili kvara sistema izazvanog operacijom Phantom Enigma;
  8. Bezbjedno konfigurisati PowerShell skripte, osiguravajući da se ne koriste kao vektori za zlonamjerne aktivnosti;
  9. Pažljivo ispitivati mrežni saobraćaj kako bi se identifikovale sumnjive domene kojima pristupaju uređaji zaposlenih. Ovo će pomoći u otkrivanju zlonamjernog aktera iz operacije Phantom Enigma koji pokušavaju da komuniciraju sa svojim komandnim centrima;
  10. Bezbjedno konfigurisati proširenja internet pregledača, osiguravajući da nemaju prekomjerne dozvole ili da pristupaju osjetljivim podacima bez eksplicitne saglasnosti korisnika.

Primjenom ovih preporuka, organizacije mogu značajno smanjiti svoju ranjivost na operaciju Phantom Enigma i druge sofisticirane napade usmjerene na osjetljive podatke.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.