PowerModul implantat
Trusselsaktøren kendt som Paper Werewolf – også kaldet GOFFEE – har udelukkende målrettet russiske organisationer ved hjælp af et nyt implantat kaldet PowerModul. Mellem juli og december 2024 kom deres angreb på nøgleindustrier, herunder massemedier, telekommunikation, byggeri, offentlige enheder og energisektoren.
Indholdsfortegnelse
En vedvarende modstander: Kampagner siden 2022
The Paper Werewolf har gennemført mindst syv kampagner siden 2022. Gruppens konsekvente fokus har været på højværdimål inden for regerings-, energi-, finans- og mediesektoren.
Mere end spionage: Destruktive drejninger i angrebskæder
Paper Werewolfs operationer går ud over traditionel cyberspionage. Deres angrebskæder er blevet observeret, der inkorporerer forstyrrende komponenter, såsom ændring af medarbejderkontoadgangskoder, hvilket indikerer en hensigt om at lamme operationer og ikke kun stjæle data.
Indgangspunkt: Phishing lokker og PowerRAT
Angrebene begynder typisk med phishing-e-mails, der indeholder makro-snørede dokumenter. Når offeret får adgang til filen og aktiverer makroer, installeres en PowerShell-baseret fjernadgangstrojaner kendt som PowerRAT . Denne malware sætter scenen for mere avancerede nyttelaster.
Custom Malware Arsenal: PowerTaskel, QwakMyAgent og Owowa
De næste trins nyttelaster inkluderer ofte PowerTaskel og QwakMyAgent, brugerdefinerede versioner af agenter baseret på Mythic frameworket. Et andet værktøj, Owowa, et ondsindet IIS-modul, bruges til at stjæle Microsoft Outlook-legitimationsoplysninger indtastet gennem webklienter.
Ny infektionstaktik: Forklædte eksekverbare filer i RAR-arkiver
Den seneste bølge af angreb indeholder et ondsindet RAR-arkiv, der indeholder en eksekverbar fil forklædt som et PDF- eller Word-dokument ved hjælp af dobbelte udvidelser (f.eks. *.pdf.exe). Ved udførelse vises et lokkedokument til brugeren, mens systemet inficeres lydløst i baggrunden.
Den eksekverbare er faktisk en patchet Windows-systemfil (som explorer.exe), indlejret med ondsindet shellcode, der indeholder en tilsløret Mythic-agent, som opretter forbindelse til C2-serveren for yderligere instruktioner.
Alternativ angrebsrute: PowerModul indtager centrum
I en alternativ metode bruger Paper Werewolf et RAR-arkiv med et makro-snøret Office-dokument, der fungerer som en dropper for PowerModul. Dette PowerShell-script kan udføre yderligere scripts fra C2-serveren, hvilket gør det til en alsidig bagdør.
Payload Parade: Et værktøjssæt til spionage og infektion
PowerModul har været i brug siden begyndelsen af 2024, primært til at downloade og køre PowerTaskel. Andre bemærkelsesværdige nyttelaster inkluderer:
- FlashFileGrabber : Stjæler filer fra flashdrev og eksfiltrerer dem.
- FlashFileGrabberOffline : Søger efter filer med specifikke udvidelser på flash-medier og gemmer dem lokalt til senere eksfiltrering.
- USB Worm : Inficerer flashdrev med en kopi af PowerModul for at sprede malwaren yderligere.
PowerTaskels egenskaber: Mere end blot scriptudførelse
Selvom det ligner PowerModul, er PowerTaskel mere kapabel. Den sender en 'checkin'-meddelelse med systemoplysninger, kører kommandoer fra C2-serveren og kan eskalere privilegier ved hjælp af PsExec. I et tilfælde blev det set udføre et FolderFileGrabber-script, der indsamler filer fra fjernsystemer ved hjælp af hårdkodede SMB-netværksstier.
Evolution in Tactics: Skifting Away from PowerTaskel
For første gang har Paper Werewolf brugt svigagtige Word-dokumenter med VBA-scripts til indledende adgang. Nylige resultater indikerer også et taktisk skift, hvor gruppen bevæger sig væk fra PowerTaskel og i stigende grad stoler på binære Mythic-agenter til lateral bevægelse inden for målrettede netværk.
Endelige tanker: En voksende trussel med udviklende teknikker
Paper Werewolf fortsætter med at forfine sine teknikker og udvide sit arsenal. Det eksklusive fokus på russiske enheder, kombineret med disruptive kapaciteter og en udviklende infektionsstrategi, gør det til en seriøs og vedvarende cybertrussel i horisonten.
