PicassoLoader pahavara

Infoseci eksperdid on tuvastanud mitmeid Ukraina ja Poola sihtmärkide vastu suunatud küberrünnakukampaaniaid. Küberkurjategijad on keskendunud valitsusasutuste, sõjaliste organisatsioonide ja tsiviilkasutajate kompromiteerimisele. Nende kampaaniate eesmärk on ebaseaduslikult hankida tundlikke andmeid ja luua pidev kaugjuurdepääs ohustatud süsteemidele.

See sissetungimiskampaania, mis kestab 2022. aasta aprillist juulini 2023, kasutab erinevaid taktikaid. Andmepüügipeibutisi ja peibutusdokumente kasutatakse ohvrite petmiseks ja PicassoLoaderi nime all tuntud allalaadija pahavara juurutamise hõlbustamiseks. See ähvardav tarkvara toimib väravana muude ohtlike tööriistade, eriti Cobalt Strike Beaconi ja njRAT-i käivitamiseks.

Andmepüügipeibutised on petlikud võtted, mida kasutatakse inimeste petmiseks tundlikku teavet, nagu kasutajanimed, paroolid või konto mandaadid, avaldama. Peibutusdokumendid on varjatud failid, mis on loodud nii, et need näivad seaduslikud, kuid sisaldavad tegelikult ohtlikke koormusi. Meelitades ohvreid nende peibutusdokumentidega suhtlema, saavad ründajad käivitada PicassoLoaderi allalaadija oma süsteemidesse.

Kui PicassoLoader on edukalt juurutatud, toimib see kanalina rünnaku järgmise etapi jaoks. See võimaldab installida ja käivitada kahte täiendavat tüüpi pahavara: Cobalt Strike Beacon ja njRAT. Cobalt Strike Beacon on keerukas läbitungimise testimise tööriist, mis võimaldab ründajatel pääseda volitamata juurde ja saada kontrolli ohustatud süsteemidele. Mis puutub njRAT-i, siis see on kaugjuurdepääsu trooja, mis annab ründajatele volitamata kaugjuurdepääsu nakatunud süsteemidele, võimaldades neil pahatahtlikke tegevusi avastamatult sooritada.

PicassoLoader pahavara on juurutatud mitmeastmelise nakkusahela osana

PicassoLoaderi taga olevad ründajad kasutasid oma kahjulike tegevuste läbiviimiseks mitmeastmelist nakkusahelat. Algstaadiumis kasutati Microsoft Office'i rikutud dokumente, kusjuures kõige sagedamini kasutati Microsoft Exceli ja PowerPointi failivorminguid. Need dokumendid on rünnaku lähtepunktiks.

Pärast Office'i dokumente on pildifailis peidetud käivitatav allalaadija ja kasulik koormus. Seda taktikat kasutati tõenäoliselt selleks, et muuta allalaadija ja kasuliku koormuse tuvastamine turvasüsteemide jaoks keerulisemaks. Pildifaili peitu pugedes püüavad ründajad turvameetmetest mööda minna ja suurendada eduka sissetungimise võimalusi.

Mõned neist rünnakutest on omistatud GhostWriteri nime all tuntud ohutegijale, keda jälgitakse ka kui UAC-0057 või UNC1151. Arvatakse, et GhostWriteri motiivid ja eesmärgid vastavad Valgevene valitsuse huvidele.

Täheldatud on arvukalt sihipäraseid rünnakuid Ukraina vastu

Väärib märkimist, et Ukraina arvutihädareageerimismeeskond (CERT-UA) oli nende rünnakute alamhulga juba eelmisel aastal dokumenteerinud. Üks tähelepanuväärne näide leidis aset juulis 2022, kus Agent Tesla pahavara edastamiseks kasutati makrokoormatud PowerPointi dokumente. See juhtum tõi esile makrode kasutamise vahendina pahavara levitamiseks ja ohvrite süsteemide ohustamiseks.

Nendes rünnetes kasutatavad nakkusahelad tuginevad sotsiaalse manipuleerimise meetoditele, et veenda ohvreid lubama Office'i dokumentides makrosid. Kui makrod on lubatud, käivitub VBA makro, mis viib PicassoLoaderi DLL-i allalaadija ohu juurutamiseni. See allalaadija loob seejärel ühenduse ründajate kontrollitud saidiga, et hankida järgmise etapi kasulik koormus, mis on manustatud näiliselt õigustatud pildifaili. Viimane pahavara on selle pildifaili sisse peidetud.

Need hiljutised CERT-UA avalikustamised langevad kokku aruannetega mitmete SmokeLoaderi pahavara levitavate andmepüügioperatsioonide kohta. Lisaks tuvastati rünnak, mis oli suunatud Telegrami kasutajatele eesmärgiga saada volitamata kontroll nende kontode üle.

GhostWriter on vaid üks Ukrainale suunatud küberkuritegevuse rühmitustest

Ukrainast on saanud sihtmärk paljudele ohus osalejatele, sealhulgas kurikuulsa Venemaa rahvusriikide rühmituse APT28 jaoks. On täheldatud, et APT28 kasutab HTML-manustega andmepüügimeilide saatmise taktikat, meelitades adressaate uskuma, et nende UKR.NETis ja Yahoo! kontosid. E-kirjades palutakse kasutajatel oma paroole muuta, kuid selle asemel suunatakse nad võltsitud sihtlehtedele, mille eesmärk on koguda sisselogimismandaate.

See hiljutine areng on osa laiemast mustrist, mida on täheldatud Venemaa sõjaväeluurega (GRU) seotud häkkerite tegevuses. Nad on oma Ukraina-vastastes häirivates operatsioonides kasutusele võtnud "standardse viiefaasilise mänguraamatu", mis näitab tahtlikku pingutust oma rünnakute kiiruse, ulatuse ja intensiivsuse suurendamiseks.