PicassoLoader البرامج الضارة
حدد خبراء Infosec سلسلة من حملات الهجمات الإلكترونية ضد أهداف في أوكرانيا وبولندا. يركز مجرمو الإنترنت على المساومة على الكيانات الحكومية والمنظمات العسكرية والمستخدمين المدنيين. تهدف هذه الحملات إلى الحصول على بيانات حساسة بشكل غير مشروع وإنشاء وصول مستمر عن بعد للأنظمة المعرضة للخطر.
على امتداد الفترة من أبريل 2022 إلى يوليو 2023 ، تستخدم حملة التطفل هذه تكتيكات مختلفة. يتم استخدام إغراءات التصيد الاحتيالي والوثائق الخادعة لخداع الضحايا وتسهيل نشر برامج ضارة للتنزيل تُعرف باسم PicassoLoader. يعمل برنامج التهديد هذا كبوابة لإطلاق أدوات أخرى غير آمنة ، وتحديداً Cobalt Strike Beacon و njRAT .
إغراءات التصيد الاحتيالي هي أساليب خادعة تُستخدم لخداع الأفراد للكشف عن معلومات حساسة ، مثل أسماء المستخدمين أو كلمات المرور أو بيانات اعتماد الحساب. المستندات الخادعة هي ملفات مقنعة مصممة لتبدو شرعية ولكنها تحتوي في الواقع على حمولات غير آمنة. من خلال إغراء الضحايا للتفاعل مع هذه المستندات الخادعة ، يمكن للمهاجمين تنفيذ برنامج تنزيل PicassoLoader على أنظمتهم.
بمجرد نشر PicassoLoader بنجاح ، فإنه يعمل كقناة للمرحلة التالية من الهجوم. إنه يتيح تثبيت وتنفيذ نوعين إضافيين من البرامج الضارة: Cobalt Strike Beacon و njRAT. تعد Cobalt Strike Beacon أداة اختبار اختراق معقدة تسمح للمهاجمين بالحصول على وصول غير مصرح به والتحكم في الأنظمة المخترقة. أما بالنسبة إلى njRAT ، فهو عبارة عن حصان طروادة للوصول عن بُعد يوفر للمهاجمين وصولاً غير مصرح به عن بُعد للأنظمة المصابة ، مما يسمح لهم بتنفيذ أنشطة ضارة دون أن يتم اكتشافهم.
جدول المحتويات
يتم نشر برنامج PicassoLoader الضار كجزء من سلسلة عدوى متعددة المراحل
استخدم المهاجمون وراء PicassoLoader سلسلة عدوى متعددة المراحل لتنفيذ أنشطتهم الضارة. تضمنت المرحلة الأولية استخدام مستندات Microsoft Office المخترقة ، مع كون تنسيقات ملفات Microsoft Excel و PowerPoint هي الأكثر استخدامًا. هذه الوثائق بمثابة نقطة انطلاق للهجوم.
بعد مستندات Office ، يتم إخفاء أداة التنزيل والحمولة القابلة للتنفيذ داخل ملف صورة. تم استخدام هذا التكتيك على الأرجح لجعل اكتشاف أداة التنزيل والحمولة أكثر صعوبة لأنظمة الأمان. من خلال الاختباء داخل ملف صورة ، يهدف المهاجمون إلى تجاوز الإجراءات الأمنية وزيادة فرص نجاح التسلل.
نُسبت بعض هذه الهجمات إلى جهة تهديد معروفة باسم GhostWriter ، والتي تم تتبعها أيضًا باسم UAC-0057 أو UNC1151. يُعتقد أن دوافع وأهداف GhostWriter تتوافق مع مصالح الحكومة البيلاروسية.
تم رصد العديد من الهجمات الموجهة ضد أوكرانيا
ومن الجدير بالذكر أن مجموعة فرعية من هذه الهجمات قد تم توثيقها بالفعل خلال العام الماضي من قبل فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA). حدث أحد الأمثلة البارزة في يوليو 2022 ، حيث تم استخدام مستندات PowerPoint المحملة بالماكرو لتسليم البرنامج الضار Agent Tesla . سلط هذا الحادث الضوء على استخدام وحدات الماكرو كوسيلة لتوزيع البرامج الضارة وتعريض أنظمة الضحايا للخطر.
تعتمد سلاسل العدوى المستخدمة في هذه الهجمات على أساليب الهندسة الاجتماعية لإقناع الضحايا بتمكين وحدات الماكرو داخل مستندات Office. بمجرد تمكين وحدات الماكرو ، يتم تشغيل ماكرو VBA ، مما يؤدي إلى نشر تهديد تنزيل PicassoLoader DLL. يقوم برنامج التنزيل هذا بعد ذلك بإنشاء اتصال بموقع يتحكم فيه المهاجمون لاسترداد حمولة المرحلة التالية المضمنة في ملف صورة يبدو شرعيًا. يتم إخفاء البرنامج الضار الأخير داخل ملف الصورة هذا.
تتزامن عمليات الكشف الأخيرة التي أجرتها CERT-UA مع تقاريرها عن العديد من عمليات التصيد الاحتيالي التي توزع البرنامج الضار SmokeLoader. بالإضافة إلى ذلك ، تم تحديد هجوم الاحتيال عبر الرسائل النصية القصيرة ، والذي استهدف مستخدمي Telegram بهدف الحصول على سيطرة غير مصرح بها على حساباتهم.
GhostWriter هي مجرد واحدة من مجموعات جرائم الإنترنت التي تستهدف أوكرانيا
أصبحت أوكرانيا هدفاً لعدة جهات تهدد ، بما في ذلك مجموعة الدولة القومية الروسية سيئة السمعة APT28 . لوحظ أن APT28 يستخدم تكتيكًا لإرسال رسائل بريد إلكتروني تصيدية تحتوي على مرفقات HTML ، لخداع المستلمين للاعتقاد بأن هناك نشاطًا مشبوهًا في UKR.NET و Yahoo! حسابات. تحث رسائل البريد الإلكتروني المستخدمين على تغيير كلمات المرور الخاصة بهم ، ولكن بدلاً من ذلك ، تقودهم إلى صفحات مقصودة مزيفة مصممة لجمع بيانات اعتماد تسجيل الدخول الخاصة بهم.
هذا التطور الأخير هو جزء من نمط أوسع لوحظ في أنشطة المتسللين المرتبطين بالاستخبارات العسكرية الروسية (GRU). لقد تبنوا "كتيبًا قياسيًا من خمس مراحل" في عملياتهم التخريبية ضد أوكرانيا ، مما يدل على جهد متعمد لتعزيز سرعة هجماتهم وحجمها وشدتها.
