Implantát PowerModul
Hrozný aktér známý jako Paper Werewolf – také označovaný jako GOFFEE – se zaměřuje výhradně na ruské organizace pomocí nového implantátu zvaného PowerModul. Mezi červencem a prosincem 2024 se jejich útoky soustředily na klíčová odvětví, včetně hromadných sdělovacích prostředků, telekomunikací, stavebnictví, vládních subjektů a energetického sektoru.
Obsah
Trvalý protivník: Kampaně od roku 2022
Papírový vlkodlak provedl od roku 2022 nejméně sedm kampaní. Skupina se soustavně soustředila na vysoce hodnotné cíle ve vládním, energetickém, finančním a mediálním sektoru.
Více než špionáž: Destruktivní zvraty v útočných řetězcích
Operace Paper Werewolf jdou nad rámec tradiční kybernetické špionáže. Bylo pozorováno, že jejich řetězce útoků obsahují rušivé komponenty, jako je změna hesel k účtům zaměstnanců, což naznačuje záměr ochromit operace a ne jen krást data.
Vstupní bod: Phishing Lures a PowerRAT
Útoky obvykle začínají phishingovými e-maily obsahujícími makro-přichycené dokumenty. Jakmile oběť přistoupí k souboru a povolí makra, je nasazen trojský kůň pro vzdálený přístup založený na prostředí PowerShell známý jako PowerRAT . Tento malware připravuje půdu pro pokročilejší užitečné zatížení.
Vlastní arzenál malwaru: PowerTaskel, QwakMyAgent a Owowa
Další fáze dat často zahrnuje PowerTaskel a QwakMyAgent, vlastní verze agentů založené na rámci Mythic. Další nástroj, Owowa, škodlivý modul IIS, se používá ke krádeži přihlašovacích údajů aplikace Microsoft Outlook zadaných prostřednictvím webových klientů.
Nová taktika infekce: Skryté spustitelné soubory v archivech RAR
Poslední vlna útoků obsahuje škodlivý RAR archiv obsahující spustitelný soubor maskovaný jako PDF nebo Word dokument s použitím dvojitých přípon (např. *.pdf.exe). Po spuštění se uživateli zobrazí návnada, zatímco systém je tiše infikován na pozadí.
Spustitelný soubor je ve skutečnosti opravený systémový soubor Windows (jako explorer.exe), vložený se škodlivým kódem shellu obsahujícím zmateného agenta Mythic, který se připojuje k serveru C2 pro další pokyny.
Alternativní cesta útoku: PowerModul se ujímá hlavní fáze
V alternativní metodě používá Paper Werewolf archiv RAR s dokumentem Office s makrem, který funguje jako kapátko pro PowerModul. Tento skript PowerShell může spouštět další skripty ze serveru C2, což z něj činí všestranná zadní vrátka.
Payload Parade: Sada nástrojů pro špionáž a infekci
PowerModul se používá od začátku roku 2024, především ke stažení a spuštění PowerTaskel. Mezi další pozoruhodné užitečné zatížení patří:
- FlashFileGrabber : Krade soubory z flash disků a exfiltruje je.
- FlashFileGrabberOffline : Vyhledá soubory se specifickými příponami na flash médiích a uloží je lokálně pro pozdější exfiltraci.
- USB Worm : Infikuje flash disky kopií PowerModulu, aby šířil malware dále.
Schopnosti PowerTaskel: Více než jen spouštění skriptů
I když je PowerTaskel podobný jako PowerModul, je schopnější. Odesílá 'checkin' zprávu se systémovými informacemi, spouští příkazy ze serveru C2 a může eskalovat oprávnění pomocí PsExec. V jednom případě bylo vidět spouštění skriptu FolderFileGrabber, který shromažďuje soubory ze vzdálených systémů pomocí pevně zakódovaných síťových cest SMB.
Evoluce v taktice: Odklon od PowerTaskelu
Papírový vlkodlak poprvé použil pro počáteční přístup podvodné dokumenty Wordu se skripty VBA. Nedávná zjištění také naznačují taktický posun, kdy se skupina vzdaluje od PowerTaskelu a stále více se spoléhá na binární Mythic agenty pro laterální pohyb v rámci cílených sítí.
Závěrečné myšlenky: Rostoucí hrozba s vyvíjejícími se technikami
Paper Werewolf pokračuje ve zdokonalování svých technik a rozšiřování svého arzenálu. Výhradní zaměření na ruské subjekty v kombinaci s rušivými schopnostmi a vyvíjející se infekční strategií z něj činí vážnou a trvalou kybernetickou hrozbu na obzoru.
