Malware PicassoLoader
Experti Infosec identifikovali sérii kybernetických útoků proti cílům na Ukrajině a v Polsku. Kyberzločinci se zaměřují na kompromitování vládních subjektů, vojenských organizací a civilních uživatelů. Cílem těchto kampaní je nezákonně získat citlivá data a zajistit nepřetržitý vzdálený přístup k napadeným systémům.
V období od dubna 2022 do července 2023 tato kampaň proti vniknutí využívá různé taktiky. Phishingové návnady a návnady se používají k oklamání obětí a usnadnění nasazení stahovacího malwaru známého jako PicassoLoader. Tento ohrožující software slouží jako brána ke spuštění dalších nebezpečných nástrojů, konkrétně Cobalt Strike Beacon a njRAT .
Phishingové návnady jsou klamavé techniky používané k oklamání jednotlivců, aby vyzradili citlivé informace, jako jsou uživatelská jména, hesla nebo přihlašovací údaje k účtu. Nástražné dokumenty jsou skryté soubory navržené tak, aby vypadaly legitimně, ale ve skutečnosti obsahují nebezpečné užitečné zatížení. Přilákáním obětí k interakci s těmito návnadami mohou útočníci spustit na svých systémech stahovací program PicassoLoader.
Jakmile je PicassoLoader úspěšně nasazen, slouží jako kanál pro další fázi útoku. Umožňuje instalaci a spuštění dvou dalších typů malwaru: Cobalt Strike Beacon a njRAT. Cobalt Strike Beacon je sofistikovaný nástroj pro testování penetrace, který útočníkům umožňuje získat neoprávněný přístup a kontrolu nad napadenými systémy. Pokud jde o njRAT, jedná se o trojský kůň pro vzdálený přístup, který útočníkům poskytuje neoprávněný vzdálený přístup k infikovaným systémům a umožňuje jim nepozorovaně provádět škodlivé aktivity.
Obsah
Malware PicassoLoader je nasazen jako součást vícefázového řetězce infekcí
Útočníci za PicassoLoaderem využili k provádění svých škodlivých aktivit vícestupňový infekční řetězec. Počáteční fáze zahrnovala použití kompromitovaných dokumentů Microsoft Office, přičemž nejčastěji používané formáty souborů Microsoft Excel a PowerPoint. Tyto dokumenty slouží jako výchozí bod pro útok.
Po dokumentech Office jsou v souboru obrázku skryty spustitelný downloader a užitečné zatížení. Tato taktika byla pravděpodobně použita k tomu, aby byla detekce stahovače a užitečného zatížení pro bezpečnostní systémy náročnější. Skrytím v obrazovém souboru se útočníci snaží obejít bezpečnostní opatření a zvýšit šance na úspěšnou infiltraci.
Některé z těchto útoků byly připsány aktérovi hrozby známému jako GhostWriter, který je také sledován jako UAC-0057 nebo UNC1151. Předpokládá se, že motivace a cíle GhostWriter jsou v souladu se zájmy běloruské vlády.
Byly pozorovány četné cílené útoky proti Ukrajině
Za zmínku stojí, že část těchto útoků již byla zdokumentována během minulého roku ukrajinským týmem pro reakci na počítačové situace (CERT-UA). K jednomu pozoruhodnému příkladu došlo v červenci 2022, kdy byly k doručení malwaru Agent Tesla použity dokumenty PowerPoint plné makro. Tento incident upozornil na použití maker jako prostředku k distribuci malwaru a kompromitaci systémů obětí.
Infekční řetězce používané při těchto útocích se spoléhají na metody sociálního inženýrství, aby přesvědčily oběti, aby povolily makra v dokumentech Office. Jakmile jsou makra povolena, spustí se makro VBA, což vede k nasazení hrozby PicassoLoader DLL pro stahování. Tento downloader pak naváže spojení se stránkou ovládanou útočníky, aby načetl užitečné zatížení další fáze, které je vloženo do zdánlivě legitimního souboru obrázku. Konečný malware je skryt v tomto souboru obrázku.
Tato nedávná odhalení CERT-UA se shodují s jejich zprávami o několika phishingových operacích distribuujících malware SmokeLoader. Navíc byl identifikován smishingový útok zaměřený na uživatele Telegramu s cílem získat neoprávněnou kontrolu nad jejich účty.
GhostWriter je jen jednou ze skupin zaměřených na kyberzločin, které se zaměřují na Ukrajinu
Ukrajina se stala cílem mnoha aktérů ohrožení, včetně nechvalně známé ruské skupiny národních států APT28 . Bylo pozorováno, že APT28 používá taktiku odesílání phishingových e-mailů s přílohami HTML, čímž klame příjemce, aby uvěřili, že v jejich UKR.NET a Yahoo! dochází k podezřelé aktivitě! účty. E-maily vyzývají uživatele, aby si změnili svá hesla, ale místo toho je vedou na falešné vstupní stránky určené ke shromažďování jejich přihlašovacích údajů.
Tento nedávný vývoj je součástí širšího vzorce pozorovaného v aktivitách hackerů spojených s ruskou vojenskou rozvědkou (GRU). Při svých ničivých operacích proti Ukrajině přijali „standardní pětifázovou příručku“, čímž prokázali záměrnou snahu zvýšit rychlost, rozsah a intenzitu svých útoků.
