Зловреден софтуер PicassoLoader
Експертите на Infosec са идентифицирали поредица от кампании за кибератаки срещу цели в Украйна и Полша. Киберпрестъпниците са фокусирани върху компрометирането на правителствени организации, военни организации и цивилни потребители. Тези кампании имат за цел незаконно получаване на чувствителни данни и установяване на непрекъснат отдалечен достъп до компрометираните системи.
Обхващайки период от април 2022 г. до юли 2023 г., тази кампания за проникване използва различни тактики. Фишинг примамките и примамващите документи се използват за измама на жертвите и за улесняване на внедряването на зловреден софтуер за изтегляне, известен като PicassoLoader. Този заплашителен софтуер служи като шлюз за стартиране на други опасни инструменти, по-специално Cobalt Strike Beacon и njRAT .
Примамките за фишинг са измамни техники, използвани за подмамване на лица да разкрият чувствителна информация, като потребителски имена, пароли или идентификационни данни за акаунт. Документите за примамка са маскирани файлове, предназначени да изглеждат легитимни, но всъщност съдържат опасни полезни товари. Като примамват жертвите да взаимодействат с тези документи-примамки, нападателите могат да изпълнят програмата за изтегляне на PicassoLoader в своите системи.
След като PicassoLoader бъде успешно внедрен, той служи като проводник за следващия етап от атаката. Той позволява инсталирането и изпълнението на два допълнителни вида зловреден софтуер: Cobalt Strike Beacon и njRAT. Cobalt Strike Beacon е усъвършенстван инструмент за тестване на проникване, който позволява на нападателите да получат неоторизиран достъп и контрол върху компрометирани системи. Що се отнася до njRAT, това е троянски кон за отдалечен достъп, който предоставя на нападателите неоторизиран отдалечен достъп до заразените системи, което им позволява да извършват злонамерени дейности незабелязани.
Съдържание
Зловреден софтуер PicassoLoader се внедрява като част от многоетапна верига за заразяване
Нападателите зад PicassoLoader са използвали многоетапна верига за заразяване, за да извършат своите вредни дейности. Първоначалният етап включва използването на компрометирани документи на Microsoft Office, като най-често използваните файлови формати на Microsoft Excel и PowerPoint. Тези документи служат като отправна точка за атаката.
След документите на Office, изпълнима програма за изтегляне и полезен товар са скрити във файл с изображение. Тази тактика вероятно е била използвана, за да направи откриването на програмата за изтегляне и полезния товар по-предизвикателно за системите за сигурност. Скривайки се във файл с изображение, нападателите целят да заобиколят мерките за сигурност и да увеличат шансовете за успешно проникване.
Някои от тези атаки се приписват на заплаха, известна като GhostWriter, също проследявана като UAC-0057 или UNC1151. Смята се, че мотивите и целите на GhostWriter са в съответствие с интересите на беларуското правителство.
Наблюдавани са множество целенасочени атаки срещу Украйна
Струва си да се спомене, че част от тези атаки вече бяха документирани през изминалата година от украинския екип за реагиране при компютърни спешни случаи (CERT-UA). Един забележителен пример се случи през юли 2022 г., когато натоварени с макроси PowerPoint документи бяха използвани за доставяне на зловреден софтуер Agent Tesla . Този инцидент подчерта използването на макроси като средство за разпространение на зловреден софтуер и компрометиране на системите на жертвите.
Инфекционните вериги, използвани в тези атаки, разчитат на методи за социално инженерство, за да убедят жертвите да активират макроси в документите на Office. След като макросите са активирани, се задейства VBA макрос, което води до внедряването на заплахата PicassoLoader DLL downloader. След това тази програма за изтегляне установява връзка със сайт, контролиран от нападателите, за да извлече полезния товар от следващия етап, който е вграден в привидно легитимен файл с изображение. Последният зловреден софтуер е скрит в този файл с изображение.
Тези скорошни разкрития от CERT-UA съвпадат с техните доклади за няколко фишинг операции, разпространяващи злонамерения софтуер SmokeLoader. Освен това беше идентифицирана измамна атака, насочена към потребителите на Telegram с цел получаване на неоторизиран контрол върху техните акаунти.
GhostWriter е само една от групите за киберпрестъпления, насочени към Украйна
Украйна се превърна в мишена за множество заплахи, включително прословутата руска национална държавна група APT28 . Наблюдавано е, че APT28 използва тактика за изпращане на фишинг имейли с HTML прикачени файлове, подвеждайки получателите да повярват, че има подозрителна дейност в техните UKR.NET и Yahoo! сметки. Имейлите подканват потребителите да променят паролите си, но вместо това ги водят до фалшиви целеви страници, предназначени да събират идентификационните им данни за вход.
Това скорошно развитие е част от по-широк модел, наблюдаван в дейностите на хакери, свързани с руското военно разузнаване (ГРУ). Те са възприели „стандартна схема от пет фази“ в своите разрушителни операции срещу Украйна, демонстрирайки умишлено усилие да увеличат скоростта, мащаба и интензивността на своите атаки.
