Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Implant PowerModul

Implant PowerModul

El Mezo el Programari maliciós, Portes del darrere
Traduir a:
Català

L'actor d'amenaça conegut com Paper Werewolf, també conegut com GOFFEE, s'ha dirigit exclusivament a organitzacions russes mitjançant un nou implant anomenat PowerModul. Entre juliol i desembre de 2024, els seus atacs es van centrar en indústries clau, com ara els mitjans de comunicació, les telecomunicacions, la construcció, les entitats governamentals i el sector energètic.

Un adversari persistent: campanyes des del 2022

The Paper Werewolf ha dut a terme almenys set campanyes des del 2022. L'enfocament constant del grup s'ha centrat en objectius d'alt valor dins dels sectors governamental, energètic, financer i dels mitjans.

Més que espionatge: girs destructius en cadenes d’atac

Les operacions de Paper Werewolf van més enllà de l'espionatge cibernètic tradicional. S'ha observat que les seves cadenes d'atac incorporen components disruptius, com ara canviar les contrasenyes dels comptes dels empleats, que indica la intenció d'aturar les operacions i no només robar dades.

Punt d’entrada: Phishing Lures i PowerRAT

Normalment, els atacs comencen amb correus electrònics de pesca que contenen documents macro-encaminats. Un cop la víctima accedeix al fitxer i activa les macros, es desplega un troià d'accés remot basat en PowerShell conegut com PowerRAT . Aquest programari maliciós prepara l'escenari per a càrregues útils més avançades.

Arsenal de programari maliciós personalitzat: PowerTaskel, QwakMyAgent i Owowa

Les càrregues útils de la següent etapa sovint inclouen PowerTaskel i QwakMyAgent, versions personalitzades dels agents basades en el marc Mythic. Una altra eina, Owowa, un mòdul IIS maliciós, s'utilitza per robar les credencials de Microsoft Outlook introduïdes a través dels clients web.

Nova tàctica d’infecció: executables disfressats als arxius RAR

L'última onada d'atacs inclou un arxiu RAR maliciós que conté un executable disfressat com a document PDF o Word amb extensions dobles (p. ex., *.pdf.exe). Quan s'executa, es mostra a l'usuari un document d'engany mentre el sistema s'infecta en silenci en segon pla.

L'executable és en realitat un fitxer del sistema de Windows pegat (com explorer.exe), incrustat amb un codi d'intèrpret d'ordres maliciós que conté un agent Mythic ofuscat, que es connecta al servidor C2 per obtenir instruccions addicionals.

Ruta d’atac alternativa: PowerModul ocupa el centre de l’escenari

En un mètode alternatiu, Paper Werewolf utilitza un arxiu RAR amb un document d'Office amb macros que actua com a comptagotes per a PowerModul. Aquest script de PowerShell pot executar scripts addicionals des del servidor C2, el que el converteix en una porta posterior versàtil.

Desfilada de càrrega útil: un conjunt d’eines per a l’espionatge i la infecció

PowerModul s'utilitza des de principis de 2024, principalment per descarregar i executar PowerTaskel. Altres càrregues útils notables inclouen:

  • FlashFileGrabber : roba fitxers de les unitats flash i els exfiltra.
  • FlashFileGrabberOffline : cerca fitxers amb extensions específiques en suports flash i els emmagatzema localment per a l'exfiltració posterior.
  • Cuc USB : infecta les unitats flash amb una còpia de PowerModul per difondre encara més el programari maliciós.

Capacitats de PowerTaskel: més que només execució d’scripts

Tot i que és similar a PowerModul, PowerTaskel és més capaç. Envia un missatge de "comprovació" amb informació del sistema, executa ordres des del servidor C2 i pot augmentar els privilegis mitjançant PsExec. En un cas, es va veure executant un script FolderFileGrabber que recopila fitxers de sistemes remots mitjançant rutes de xarxa SMB codificades.

Evolució de les tàctiques: allunyar-se de PowerTaskel

Per primera vegada, Paper Werewolf ha utilitzat documents de Word fraudulents amb scripts VBA per a l'accés inicial. Les troballes recents també indiquen un canvi tàctic, amb el grup allunyant-se de PowerTaskel i confiant cada cop més en agents mítics binaris per al moviment lateral dins de les xarxes dirigides.

Pensaments finals: una amenaça creixent amb tècniques en evolució

Paper Werewolf continua perfeccionant les seves tècniques i ampliant el seu arsenal. L'enfocament exclusiu a les entitats russes, combinat amb capacitats disruptives i una estratègia d'infecció en evolució, la converteixen en una amenaça cibernètica greu i persistent a l'horitzó.

Tendència

Estafa de correu electrònic d'Airdrop de VoxFlowG USDT

Phishing, Correu brossa
Amb l'augment de la criptomoneda, els estafadors han desenvolupat tàctiques cada cop més enganyoses per enganyar els usuaris perquè regalin els seus actius digitals. Un d'aquests esquemes fraudulents és l'estafa de correu electrònic VoxFlowG USDT Airdrop, que s'aprofita d'individus desprevinguts prometent Tether gratuït (USDT). Aquesta tàctica està dissenyada per recollir fons de les carteres...

Més vist

Carregant...