PicassoLoader Malware
Infosec-eksperter har identificeret en række cyberangrebskampagner mod mål i Ukraine og Polen. Cyberkriminelle er fokuseret på at kompromittere statslige enheder, militære organisationer og civile brugere. Disse kampagner har til formål at ulovligt indhente følsomme data og etablere kontinuerlig fjernadgang til de kompromitterede systemer.
Denne indtrængningskampagne strækker sig over en periode fra april 2022 til juli 2023 og bruger forskellige taktikker. Phishing lokker og lokkedokumenter bruges til at bedrage ofre og lette implementeringen af en downloader malware kendt som PicassoLoader. Denne truende software fungerer som en gateway til at lancere andre usikre værktøjer, specifikt Cobalt Strike Beacon og njRAT .
Phishing lokker er vildledende teknikker, der bruges til at narre enkeltpersoner til at afsløre følsomme oplysninger, såsom brugernavne, adgangskoder eller kontooplysninger. Lokkedokumenter er forklædte filer, der er designet til at virke legitime, men som faktisk indeholder usikre nyttelaster. Ved at lokke ofre til at interagere med disse lokkedokumenter, kan angriberne udføre PicassoLoader-downloaderen på deres systemer.
Når først PicassoLoader er implementeret med succes, fungerer den som en kanal for den næste fase af angrebet. Det muliggør installation og udførelse af to yderligere typer malware: Cobalt Strike Beacon og njRAT. Cobalt Strike Beacon er et sofistikeret penetrationstestværktøj, der giver angribere mulighed for at få uautoriseret adgang og kontrol over kompromitterede systemer. Hvad angår njRAT, er det en fjernadgangstrojan, der giver angriberne uautoriseret fjernadgang til de inficerede systemer, hvilket giver dem mulighed for at udføre ondsindede aktiviteter uopdaget.
Indholdsfortegnelse
PicassoLoader-malwaren er implementeret som en del af en flertrinsinfektionskæde
Angriberne bag PicassoLoader brugte en flertrins infektionskæde til at udføre deres skadelige aktiviteter. Den indledende fase involverede brugen af kompromitterede Microsoft Office-dokumenter, hvor Microsoft Excel og PowerPoint filformater var de mest almindeligt anvendte. Disse dokumenter tjener som udgangspunkt for angrebet.
Efter Office-dokumenterne er en eksekverbar downloader og nyttelast skjult i en billedfil. Denne taktik blev sandsynligvis brugt til at gøre detektionen af downloaderen og nyttelasten mere udfordrende for sikkerhedssystemer. Ved at gemme sig i en billedfil sigter angriberne mod at omgå sikkerhedsforanstaltninger og øge chancerne for vellykket infiltration.
Nogle af disse angreb er blevet tilskrevet en trusselsaktør kendt som GhostWriter, også sporet som UAC-0057 eller UNC1151. Motivationerne og målene for GhostWriter menes at stemme overens med den hviderussiske regerings interesser.
Talrige målrettede angreb mod Ukraine er blevet observeret
Det er værd at nævne, at en delmængde af disse angreb allerede var blevet dokumenteret i løbet af det sidste år af Ukraines Computer Emergency Response Team (CERT-UA). Et bemærkelsesværdigt eksempel fandt sted i juli 2022, hvor makrofyldte PowerPoint-dokumenter blev brugt til at levere Agent Tesla -malwaren. Denne hændelse fremhævede brugen af makroer som et middel til at distribuere malware og kompromittere ofrenes systemer.
De infektionskæder, der bruges i disse angreb, er afhængige af social engineering-metoder for at overbevise ofrene om at aktivere makroer i Office-dokumenterne. Når makroerne er aktiveret, udløses en VBA-makro, hvilket fører til implementeringen af truslen om PicassoLoader DLL-downloader. Denne downloader etablerer derefter en forbindelse med et websted kontrolleret af angriberne for at hente næste trins nyttelast, som er indlejret i en tilsyneladende legitim billedfil. Den endelige malware er skjult i denne billedfil.
Disse nylige afsløringer fra CERT-UA falder sammen med deres rapportering om adskillige phishing-operationer, der distribuerer SmokeLoader-malwaren. Derudover blev et smishing-angreb identificeret, rettet mod Telegram-brugere med det formål at opnå uautoriseret kontrol over deres konti.
GhostWriter er blot en af de cyberkriminalitetsgrupper, der er målrettet mod Ukraine
Ukraine er blevet et mål for flere trusselsaktører, herunder den berygtede russiske nationalstatsgruppe APT28 . APT28 er blevet observeret ved at bruge en taktik med at sende phishing-e-mails med HTML-vedhæftede filer, narre modtagere til at tro, at der er mistænkelig aktivitet i deres UKR.NET og Yahoo! regnskaber. E-mails beder brugerne om at ændre deres adgangskoder, men i stedet fører dem til falske landingssider designet til at indsamle deres loginoplysninger.
Denne seneste udvikling er en del af et bredere mønster, der er observeret i aktiviteterne af russisk militær efterretningstjeneste (GRU)-associerede hackere. De har vedtaget en 'standard fem-faset spillebog' i deres forstyrrende operationer mod Ukraine, hvilket viser en bevidst indsats for at øge hastigheden, omfanget og intensiteten af deres angreb.
