Programari maliciós PicassoLoader
Els experts d'Infosec han identificat una sèrie de campanyes d'atac cibernètic contra objectius a Ucraïna i Polònia. Els ciberdelinqüents se centren a comprometre entitats governamentals, organitzacions militars i usuaris civils. Aquestes campanyes tenen com a objectiu obtenir il·lícitament dades sensibles i establir un accés remot continu als sistemes compromesos.
Aquesta campanya d'intrusió, que abasta un període d'abril de 2022 a juliol de 2023, utilitza diverses tàctiques. Els esquers de pesca i els documents d'engany s'utilitzen per enganyar les víctimes i facilitar el desplegament d'un programari maliciós de descàrrega conegut com PicassoLoader. Aquest programari amenaçador serveix com a porta d'entrada per llançar altres eines insegures, concretament el Cobalt Strike Beacon i njRAT .
Els esquers de pesca són tècniques enganyoses que s'utilitzen per enganyar les persones perquè revelin informació sensible, com ara noms d'usuari, contrasenyes o credencials de compte. Els documents decoy són fitxers disfressats dissenyats per semblar legítims però que en realitat contenen càrregues útils no segures. En atreure les víctimes a interactuar amb aquests documents seductors, els atacants poden executar el descarregador PicassoLoader als seus sistemes.
Un cop s'ha desplegat amb èxit PicassoLoader, serveix com a conducte per a la següent etapa de l'atac. Permet la instal·lació i l'execució de dos tipus addicionals de programari maliciós: Cobalt Strike Beacon i njRAT. El Cobalt Strike Beacon és una eina de prova de penetració sofisticada que permet als atacants obtenir accés i control no autoritzats sobre sistemes compromesos. Pel que fa a njRAT, és un troià d'accés remot que proporciona als atacants un accés remot no autoritzat als sistemes infectats, permetent-los dur a terme activitats malicioses sense detectar-los.
Taula de continguts
El programari maliciós PicassoLoader es desplega com a part d’una cadena d’infecció en diverses etapes
Els atacants darrere de PicassoLoader van utilitzar una cadena d'infecció en diverses etapes per dur a terme les seves activitats nocives. L'etapa inicial va implicar l'ús de documents de Microsoft Office compromesos, amb els formats de fitxer Microsoft Excel i PowerPoint els més utilitzats. Aquests documents serveixen de punt de partida per a l'atac.
Després dels documents d'Office, un descàrrega executable i una càrrega útil s'oculten dins d'un fitxer d'imatge. Aquesta tàctica probablement es va utilitzar per fer que la detecció del descarregador i la càrrega útil fos més difícil per als sistemes de seguretat. En amagar-se dins d'un fitxer d'imatge, els atacants pretenen evitar les mesures de seguretat i augmentar les possibilitats d'una infiltració reeixida.
Alguns d'aquests atacs s'han atribuït a un actor d'amenaces conegut com a GhostWriter, també rastrejat com a UAC-0057 o UNC1151. Es creu que les motivacions i els objectius de GhostWriter s'alineen amb els interessos del govern bielorús.
S’han observat nombrosos atacs dirigits contra Ucraïna
Val la pena esmentar que un subconjunt d'aquests atacs ja havia estat documentat durant l'últim any per l'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA). Un exemple notable es va produir el juliol de 2022, on es van utilitzar documents de PowerPoint carregats de macro per lliurar el programari maliciós de l'Agent Tesla . Aquest incident va posar de manifest l'ús de macros com a mitjà per distribuir programari maliciós i comprometre els sistemes de les víctimes.
Les cadenes d'infecció utilitzades en aquests atacs es basen en mètodes d'enginyeria social per convèncer les víctimes perquè habilitin macros als documents d'Office. Un cop habilitades les macros, s'activa una macro VBA, que comporta el desplegament de l'amenaça de descàrrega de DLL PicassoLoader. A continuació, aquest descarregador estableix una connexió amb un lloc controlat pels atacants per recuperar la càrrega útil de la següent etapa, que s'incrusta dins d'un fitxer d'imatge aparentment legítim. El programari maliciós final s'amaga dins d'aquest fitxer d'imatge.
Aquestes revelacions recents del CERT-UA coincideixen amb els seus informes sobre diverses operacions de pesca que distribueixen el programari maliciós SmokeLoader. A més, es va identificar un atac smishing dirigit als usuaris de Telegram amb l'objectiu d'obtenir un control no autoritzat sobre els seus comptes.
GhostWriter és només un dels grups de cibercrim dirigits a Ucraïna
Ucraïna s'ha convertit en un objectiu de múltiples actors d'amenaça, inclòs el famós grup d'estat-nació rus APT28 . S'ha observat que l'APT28 utilitza una tàctica d'enviar correus electrònics de pesca amb fitxers adjunts HTML, fent-los creure als destinataris que hi ha activitat sospitosa al seu UKR.NET i Yahoo! comptes. Els correus electrònics demanen als usuaris que canviïn les seves contrasenyes però, en canvi, els condueixen a pàgines de destinació falses dissenyades per recollir les seves credencials d'inici de sessió.
Aquest desenvolupament recent forma part d'un patró més ampli observat en les activitats dels pirates informàtics associats a la intel·ligència militar russa (GRU). Han adoptat un "manual estàndard de cinc fases" en les seves operacions disruptives contra Ucraïna, demostrant un esforç deliberat per millorar la velocitat, l'escala i la intensitat dels seus atacs.
