Κακόβουλο λογισμικό PicassoLoader
Οι ειδικοί της Infosec εντόπισαν μια σειρά εκστρατειών κυβερνοεπιθέσεων εναντίον στόχων στην Ουκρανία και την Πολωνία. Οι εγκληματίες του κυβερνοχώρου επικεντρώνονται σε συμβιβασμούς κυβερνητικών οντοτήτων, στρατιωτικών οργανισμών και πολιτικών χρηστών. Αυτές οι εκστρατείες στοχεύουν στην παράνομη απόκτηση ευαίσθητων δεδομένων και στη δημιουργία συνεχούς απομακρυσμένης πρόσβασης στα παραβιασμένα συστήματα.
Σε μια περίοδο από τον Απρίλιο του 2022 έως τον Ιούλιο του 2023, αυτή η εκστρατεία εισβολής χρησιμοποιεί διάφορες τακτικές. Τα θέλγητρα ηλεκτρονικού ψαρέματος και τα παραπλανητικά έγγραφα χρησιμοποιούνται για την εξαπάτηση των θυμάτων και τη διευκόλυνση της ανάπτυξης ενός κακόβουλου λογισμικού λήψης γνωστού ως PicassoLoader. Αυτό το απειλητικό λογισμικό χρησιμεύει ως πύλη για την εκκίνηση άλλων μη ασφαλών εργαλείων, ειδικά των Cobalt Strike Beacon και njRAT .
Τα θέλγητρα ηλεκτρονικού "ψαρέματος" είναι παραπλανητικές τεχνικές που χρησιμοποιούνται για να εξαπατήσουν άτομα ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης ή διαπιστευτήρια λογαριασμού. Τα έγγραφα Decoy είναι μεταμφιεσμένα αρχεία που έχουν σχεδιαστεί για να φαίνονται νόμιμα αλλά στην πραγματικότητα περιέχουν μη ασφαλή ωφέλιμα φορτία. Δελεάζοντας τα θύματα να αλληλεπιδράσουν με αυτά τα παραπλανητικά έγγραφα, οι εισβολείς μπορούν να εκτελέσουν το πρόγραμμα λήψης PicassoLoader στα συστήματά τους.
Μόλις το PicassoLoader αναπτυχθεί με επιτυχία, χρησιμεύει ως αγωγός για το επόμενο στάδιο της επίθεσης. Επιτρέπει την εγκατάσταση και την εκτέλεση δύο επιπλέον τύπων κακόβουλου λογισμικού: του Cobalt Strike Beacon και του njRAT. Το Cobalt Strike Beacon είναι ένα εξελιγμένο εργαλείο δοκιμών διείσδυσης που επιτρέπει στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και έλεγχο σε παραβιασμένα συστήματα. Όσον αφορά το njRAT, είναι ένας trojan απομακρυσμένης πρόσβασης που παρέχει στους εισβολείς μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στα μολυσμένα συστήματα, επιτρέποντάς τους να εκτελούν κακόβουλες δραστηριότητες χωρίς να ανιχνεύονται.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό PicassoLoader αναπτύσσεται ως μέρος μιας αλυσίδας μόλυνσης πολλαπλών σταδίων
Οι επιτιθέμενοι πίσω από το PicassoLoader χρησιμοποίησαν μια αλυσίδα μόλυνσης πολλαπλών σταδίων για να πραγματοποιήσουν τις επιβλαβείς δραστηριότητές τους. Το αρχικό στάδιο περιλάμβανε τη χρήση παραβιασμένων εγγράφων του Microsoft Office, με τις μορφές αρχείων Microsoft Excel και PowerPoint να είναι οι πιο συχνά χρησιμοποιούμενες. Αυτά τα έγγραφα χρησιμεύουν ως το σημείο εκκίνησης για την επίθεση.
Μετά τα έγγραφα του Office, ένα εκτελέσιμο πρόγραμμα λήψης και ωφέλιμο φορτίο κρύβονται σε ένα αρχείο εικόνας. Αυτή η τακτική πιθανότατα χρησιμοποιήθηκε για να καταστήσει την ανίχνευση του προγράμματος λήψης και του ωφέλιμου φορτίου πιο δύσκολη για τα συστήματα ασφαλείας. Κρύβοντας μέσα σε ένα αρχείο εικόνας, οι εισβολείς στοχεύουν να παρακάμψουν τα μέτρα ασφαλείας και να αυξήσουν τις πιθανότητες επιτυχούς διείσδυσης.
Μερικές από αυτές τις επιθέσεις έχουν αποδοθεί σε έναν παράγοντα απειλής γνωστό ως GhostWriter, ο οποίος επίσης παρακολουθείται ως UAC-0057 ή UNC1151. Τα κίνητρα και οι στόχοι του GhostWriter πιστεύεται ότι ευθυγραμμίζονται με τα συμφέροντα της κυβέρνησης της Λευκορωσίας.
Έχουν παρατηρηθεί πολυάριθμες στοχευμένες επιθέσεις κατά της Ουκρανίας
Αξίζει να αναφερθεί ότι ένα υποσύνολο αυτών των επιθέσεων είχε ήδη τεκμηριωθεί τον περασμένο χρόνο από την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA). Ένα αξιοσημείωτο παράδειγμα συνέβη τον Ιούλιο του 2022, όπου χρησιμοποιήθηκαν έγγραφα PowerPoint με μακροεντολές για την παράδοση του κακόβουλου λογισμικού Agent Tesla . Αυτό το περιστατικό τόνισε τη χρήση μακροεντολών ως μέσο διανομής κακόβουλου λογισμικού και παραβίασης των συστημάτων των θυμάτων.
Οι αλυσίδες μόλυνσης που χρησιμοποιούνται σε αυτές τις επιθέσεις βασίζονται σε μεθόδους κοινωνικής μηχανικής για να πείσουν τα θύματα να ενεργοποιήσουν τις μακροεντολές στα έγγραφα του Office. Μόλις ενεργοποιηθούν οι μακροεντολές, ενεργοποιείται μια μακροεντολή VBA, η οποία οδηγεί στην ανάπτυξη της απειλής του προγράμματος λήψης DLL PicassoLoader. Αυτό το πρόγραμμα λήψης στη συνέχεια δημιουργεί μια σύνδεση με έναν ιστότοπο που ελέγχεται από τους εισβολείς για να ανακτήσει το ωφέλιμο φορτίο επόμενου σταδίου, το οποίο είναι ενσωματωμένο σε ένα φαινομενικά νόμιμο αρχείο εικόνας. Το τελικό κακόβουλο λογισμικό κρύβεται σε αυτό το αρχείο εικόνας.
Αυτές οι πρόσφατες αποκαλύψεις από το CERT-UA συμπίπτουν με την αναφορά τους για διάφορες λειτουργίες phishing που διανέμουν το κακόβουλο λογισμικό SmokeLoader. Επιπλέον, εντοπίστηκε μια επίθεση που στόχευε χρήστες του Telegram με στόχο να αποκτήσουν μη εξουσιοδοτημένο έλεγχο των λογαριασμών τους.
Το GhostWriter είναι μόνο μία από τις ομάδες εγκλήματος στον κυβερνοχώρο που στοχεύουν στην Ουκρανία
Η Ουκρανία έχει γίνει στόχος πολλαπλών παραγόντων απειλής, συμπεριλαμβανομένου του διαβόητου ρωσικού εθνικού κράτους APT28 . Το APT28 έχει παρατηρηθεί να χρησιμοποιεί μια τακτική αποστολής email ηλεκτρονικού ψαρέματος με συνημμένα HTML, εξαπατώντας τους παραλήπτες να πιστέψουν ότι υπάρχει ύποπτη δραστηριότητα στο UKR.NET και στο Yahoo! λογαριασμούς. Τα μηνύματα ηλεκτρονικού ταχυδρομείου προτρέπουν τους χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους, αλλά αντ 'αυτού τους οδηγούν σε ψεύτικες σελίδες προορισμού που έχουν σχεδιαστεί για τη συλλογή των διαπιστευτηρίων σύνδεσής τους.
Αυτή η πρόσφατη εξέλιξη είναι μέρος ενός ευρύτερου προτύπου που παρατηρείται στις δραστηριότητες των χάκερ που σχετίζονται με τη ρωσική στρατιωτική υπηρεσία πληροφοριών (GRU). Έχουν υιοθετήσει ένα «τυποποιημένο βιβλίο παιχνιδιού πέντε φάσεων» στις ανατρεπτικές επιχειρήσεις τους εναντίον της Ουκρανίας, επιδεικνύοντας μια σκόπιμη προσπάθεια να ενισχύσουν την ταχύτητα, την κλίμακα και την ένταση των επιθέσεών τους.
