Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Имплант PowerModul

Имплант PowerModul

До Mezo през Зловреден софтуер, Задни вратиг
Превод на:
български език

Актьорът на заплахата, известен като Paper Werewolf – наричан още GOFFEE – е насочен изключително към руски организации, използвайки нов имплант, наречен PowerModul. Между юли и декември 2024 г. атаките им бяха насочени към ключови индустрии, включително медии, телекомуникации, строителство, държавни институции и енергийния сектор.

Упорит противник: Кампании от 2022 г

The Paper Werewolf е провел най-малко седем кампании от 2022 г. насам. Постоянният фокус на групата е върху цели с висока стойност в правителствения, енергийния, финансовия и медийния сектор.

Повече от шпионаж: Разрушителни обрати във веригите на атаки

Операциите на Paper Werewolf надхвърлят традиционния кибер шпионаж. Наблюдавано е, че техните вериги за атаки включват разрушителни компоненти, като например промяна на паролите на акаунти на служители, което показва намерение да осакатят операциите, а не само да откраднат данни.

Входна точка: примамки за фишинг и PowerRAT

Атаките обикновено започват с фишинг имейли, съдържащи документи с макроси. След като жертвата получи достъп до файла и активира макроси, се внедрява базиран на PowerShell троянски кон за отдалечен достъп, известен като PowerRAT . Този зловреден софтуер поставя началото на по-усъвършенствани полезни натоварвания.

Персонализиран арсенал за зловреден софтуер: PowerTaskel, QwakMyAgent и Owowa

Полезните натоварвания на следващия етап често включват PowerTaskel и QwakMyAgent, персонализирани версии на агенти, базирани на рамката Mythic. Друг инструмент, Owowa, злонамерен IIS модул, се използва за кражба на идентификационни данни на Microsoft Outlook, въведени чрез уеб клиенти.

Нова тактика за заразяване: маскирани изпълними файлове в RAR архиви

Последната вълна от атаки включва злонамерен RAR архив, съдържащ изпълним файл, маскиран като PDF или Word документ, използващ двойни разширения (напр. *.pdf.exe). При изпълнение, документ-примамка се показва на потребителя, докато системата е тихо заразена във фонов режим.

Изпълнимият файл всъщност е закърпен системен файл на Windows (като explorer.exe), вграден със злонамерен шелкод, съдържащ обфускиран Mythic агент, който се свързва със сървъра C2 за допълнителни инструкции.

Алтернативен маршрут за атака: PowerModul заема централно място

В алтернативен метод Paper Werewolf използва RAR архив с документ на Office с макроси, който действа като капкомер за PowerModul. Този скрипт на PowerShell може да изпълнява допълнителни скриптове от сървъра C2, което го прави многофункционална задна врата.

Payload Parade: Инструментариум за шпионаж и заразяване

PowerModul се използва от началото на 2024 г., основно за изтегляне и стартиране на PowerTaskel. Други забележителни полезни товари включват:

  • FlashFileGrabber : Краде файлове от флашки и ги ексфилтрира.
  • FlashFileGrabberOffline : Търси файлове със специфични разширения на флаш носител и ги съхранява локално за по-късно ексфилтриране.
  • USB червей : Заразява флаш памети с копие на PowerModul, за да разпространи зловредния софтуер по-нататък.

Възможностите на PowerTaskel: Повече от просто изпълнение на скрипт

Въпреки че е подобен на PowerModul, PowerTaskel е по-способен. Той изпраща съобщение за проверка със системна информация, изпълнява команди от C2 сървъра и може да ескалира привилегиите с помощта на PsExec. В един случай беше забелязано изпълнение на скрипт FolderFileGrabber, който събира файлове от отдалечени системи, използвайки твърдо кодирани SMB мрежови пътища.

Еволюция в тактиката: Отдалечаване от PowerTaskel

За първи път Paper Werewolf използва измамни Word документи с VBA скриптове за първоначален достъп. Последните открития също показват тактическа промяна, като групата се отдалечава от PowerTaskel и все повече разчита на бинарни митични агенти за странично движение в рамките на целевите мрежи.

Последни мисли: нарастваща заплаха с развиващи се техники

Paper Werewolf продължава да усъвършенства своите техники и да разширява своя арсенал. Изключителният фокус върху руски субекти, съчетан с разрушителни способности и развиваща се стратегия за заразяване, го прави сериозна и постоянна киберзаплаха на хоризонта.

Тенденция

VoxFlowG USDT Airdrop имейл измама

Фишинг, Спам
С възхода на криптовалутата измамниците разработиха все по-измамни тактики, за да подмамят потребителите да раздадат своите цифрови активи. Една такава измамна схема е имейл измамата VoxFlowG USDT Airdrop, която преследва нищо неподозиращи хора, като обещава безплатен Tether (USDT). Тази тактика е предназначена за събиране на средства от криптовалутните портфейли на жертвите. Разбирането как...

Chase - Прехвърлянето се обработва и ще бъде...

Фишинг, Спам
Интернет е пълен с възможности и удобства, но също така е благодатна среда за киберзаплахи. Измамниците непрекъснато измислят нови начини за измама на потребителите, кражба на чувствителни данни и използване на финансови сметки. Една такава схема е имейл измамата „Chase – Transfer Is Processing And Will Be Deducted“, която преследва нищо неподозиращи жертви, представяйки се за законни банкови...

Най-гледан

Зареждане...