Εμφύτευμα PowerModul
Ο ηθοποιός της απειλής, γνωστός ως Paper Werewolf - που αναφέρεται επίσης ως GOFFEE - στοχεύει αποκλειστικά ρωσικές οργανώσεις χρησιμοποιώντας ένα νέο εμφύτευμα που ονομάζεται PowerModul. Από τον Ιούλιο έως τον Δεκέμβριο του 2024, οι επιθέσεις τους εκμηδενίστηκαν σε βασικούς κλάδους, συμπεριλαμβανομένων των μέσων μαζικής ενημέρωσης, των τηλεπικοινωνιών, των κατασκευών, των κυβερνητικών φορέων και του ενεργειακού τομέα.
Πίνακας περιεχομένων
Ένας επίμονος αντίπαλος: Εκστρατείες από το 2022
Το Paper Werewolf έχει πραγματοποιήσει τουλάχιστον επτά εκστρατείες από το 2022. Η σταθερή εστίαση της ομάδας ήταν σε στόχους υψηλής αξίας στους τομείς της κυβέρνησης, της ενέργειας, του χρηματοοικονομικού τομέα και των μέσων ενημέρωσης.
Περισσότερα από κατασκοπεία: Καταστροφικές ανατροπές σε αλυσίδες επιθέσεων
Οι επιχειρήσεις του Paper Werewolf ξεπερνούν την παραδοσιακή κατασκοπεία στον κυβερνοχώρο. Οι αλυσίδες επιθέσεών τους έχουν παρατηρηθεί ότι ενσωματώνουν ανασταλτικά στοιχεία, όπως αλλαγή κωδικών πρόσβασης λογαριασμών υπαλλήλων, που υποδηλώνουν πρόθεση να ακρωτηριάσουν τις λειτουργίες και όχι απλώς να κλέψουν δεδομένα.
Σημείο εισόδου: Phishing Lures και PowerRAT
Οι επιθέσεις συνήθως ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν έγγραφα με μακροεντολές. Μόλις το θύμα αποκτήσει πρόσβαση στο αρχείο και ενεργοποιήσει τις μακροεντολές, αναπτύσσεται ένας Trojan απομακρυσμένης πρόσβασης που βασίζεται σε PowerShell, γνωστός ως PowerRAT . Αυτό το κακόβουλο λογισμικό θέτει τις βάσεις για πιο προηγμένα ωφέλιμα φορτία.
Προσαρμοσμένο κακόβουλο λογισμικό Arsenal: PowerTaskel, QwakMyAgent και Owowa
Τα ωφέλιμα φορτία επόμενου σταδίου συχνά περιλαμβάνουν PowerTaskel και QwakMyAgent, προσαρμοσμένες εκδόσεις πρακτόρων που βασίζονται στο πλαίσιο Mythic. Ένα άλλο εργαλείο, το Owowa, μια κακόβουλη λειτουργική μονάδα IIS, χρησιμοποιείται για την κλοπή των διαπιστευτηρίων του Microsoft Outlook που εισάγονται μέσω προγραμμάτων-πελατών Ιστού.
Νέα τακτική μόλυνσης: Μεταμφιεσμένα εκτελέσιμα σε αρχεία RAR
Το τελευταίο κύμα επιθέσεων περιλαμβάνει ένα κακόβουλο αρχείο RAR που περιέχει ένα εκτελέσιμο αρχείο που μεταμφιέζεται σε έγγραφο PDF ή Word χρησιμοποιώντας διπλές επεκτάσεις (π.χ. *.pdf.exe). Κατά την εκτέλεση, ένα έγγραφο δόλωμα εμφανίζεται στον χρήστη ενώ το σύστημα είναι σιωπηλά μολυσμένο στο παρασκήνιο.
Το εκτελέσιμο είναι στην πραγματικότητα ένα επιδιορθωμένο αρχείο συστήματος των Windows (όπως το explorer.exe), ενσωματωμένο με κακόβουλο shellcode που περιέχει έναν ασαφή παράγοντα Mythic, ο οποίος συνδέεται με τον διακομιστή C2 για περαιτέρω οδηγίες.
Εναλλακτική οδός επίθεσης: Το PowerModul παίρνει το κεντρικό στάδιο
Σε μια εναλλακτική μέθοδο, το Paper Werewolf χρησιμοποιεί ένα αρχείο RAR με ένα έγγραφο του Office με μακροεντολές που λειτουργεί ως σταγονόμετρο για το PowerModul. Αυτό το σενάριο PowerShell μπορεί να εκτελέσει πρόσθετα σενάρια από τον διακομιστή C2, καθιστώντας το ένα ευέλικτο backdoor.
Payload Parade: A Toolkit για κατασκοπεία και μόλυνση
Το PowerModul χρησιμοποιείται από τις αρχές του 2024, κυρίως για τη λήψη και εκτέλεση του PowerTaskel. Άλλα αξιοσημείωτα ωφέλιμα φορτία περιλαμβάνουν:
- FlashFileGrabber : Κλέβει αρχεία από μονάδες flash και τα απομακρύνει.
- FlashFileGrabberOffline : Αναζητά αρχεία με συγκεκριμένες επεκτάσεις σε μέσα flash και τα αποθηκεύει τοπικά για μετέπειτα εξαγωγή.
- USB Worm : Προσβάλλει τις μονάδες flash με ένα αντίγραφο του PowerModul για να εξαπλωθεί περαιτέρω το κακόβουλο λογισμικό.
Δυνατότητες του PowerTaskel: Περισσότερα από την εκτέλεση σεναρίων
Αν και παρόμοιο με το PowerModul, το PowerTaskel είναι πιο ικανό. Στέλνει ένα μήνυμα «checkin» με πληροφορίες συστήματος, εκτελεί εντολές από τον διακομιστή C2 και μπορεί να κλιμακώσει τα προνόμια χρησιμοποιώντας το PsExec. Σε μια περίπτωση, φάνηκε να εκτελεί ένα σενάριο FolderFileGrabber που συλλέγει αρχεία από απομακρυσμένα συστήματα χρησιμοποιώντας μονοπάτια δικτύου SMB με σκληρό κώδικα.
Evolution in Tactics: Shifting Away from PowerTaskel
Για πρώτη φορά, η Paper Werewolf χρησιμοποίησε δόλια έγγραφα του Word με σενάρια VBA για αρχική πρόσβαση. Πρόσφατα ευρήματα υποδεικνύουν επίσης μια αλλαγή τακτικής, με την ομάδα να απομακρύνεται από το PowerTaskel και να βασίζεται όλο και περισσότερο σε δυαδικούς μυθικούς πράκτορες για πλευρική κίνηση εντός στοχευμένων δικτύων.
Τελικές σκέψεις: Μια αυξανόμενη απειλή με εξελισσόμενες τεχνικές
Το Paper Werewolf συνεχίζει να βελτιώνει τις τεχνικές του και να επεκτείνει το οπλοστάσιό του. Η αποκλειστική εστίαση σε ρωσικές οντότητες, σε συνδυασμό με τις δυνατότητες ανατροπής και μια εξελισσόμενη στρατηγική μόλυνσης, το καθιστά μια σοβαρή και επίμονη απειλή στον κυβερνοχώρο στον ορίζοντα.
