PowerModul implantaat
Ohustaja, tuntud kui Paper Werewolf, mida nimetatakse ka GOFFEE-ks, on sihikule võtnud eranditult Venemaa organisatsioonid, kasutades uut implantaati nimega PowerModul. Ajavahemikus 2024. aasta juulist detsembrini tabasid nende rünnakud peamisi tööstusharusid, sealhulgas massimeedia, telekommunikatsioon, ehitus, valitsusasutused ja energiasektor.
Sisukord
Püsiv vastane: kampaaniad alates 2022. aastast
The Paper Werewolf on alates 2022. aastast läbi viinud vähemalt seitse kampaaniat. Grupi järjekindel fookus on olnud kõrge väärtusega sihtmärkidel valitsuse, energeetika, finants- ja meediasektoris.
Rohkem kui spionaaž: hävitavad pöörded rünnakuahelates
Paper Werewolfi tegevus ulatub traditsioonilisest küberspionaažist kaugemale. Nende rünnakuahelates on täheldatud häirivaid komponente, nagu töötajate kontode paroolide muutmine, mis viitab kavatsusele toiminguid halvata, mitte ainult andmeid varastada.
Sisenemispunkt: andmepüügipeibutised ja PowerRAT
Rünnakud algavad tavaliselt andmepüügi e-kirjadega, mis sisaldavad makrotähisega dokumente. Kui ohver pääseb failile juurde ja lubab makrod, juurutatakse PowerShellil põhinev kaugjuurdepääsu troojalane, mida nimetatakse PowerRATiks . See pahavara loob aluse arenenumatele kasulikele koormustele.
Kohandatud pahavara arsenal: PowerTaskel, QwakMyAgent ja Owowa
Järgmise etapi kasulikud koormused hõlmavad sageli PowerTaskelit ja QwakMyAgenti, agentide kohandatud versioone, mis põhinevad Mythic raamistikul. Teist tööriista, pahatahtlikku IIS-moodulit Owowa, kasutatakse veebiklientide kaudu sisestatud Microsoft Outlooki mandaatide varastamiseks.
Uus nakatumistaktika: varjatud täideviijad RAR-i arhiivides
Viimasel rünnakulainel on pahatahtlik RAR-arhiiv, mis sisaldab topeltlaiendit (nt *.pdf.exe) kasutavat PDF- või Wordi dokumendiks maskeeritud käivitatavat faili. Täitmisel näidatakse kasutajale peibutusdokumenti, samal ajal kui süsteem on taustal vaikselt nakatunud.
Käivitatav fail on tegelikult paigatud Windowsi süsteemifail (nagu explorer.exe), mis on manustatud pahatahtliku shellkoodiga, mis sisaldab varjatud müütilist agenti, mis loob ühenduse C2 serveriga edasiste juhiste saamiseks.
Alternatiivne ründetee: PowerModul asub keskpunktis
Alternatiivse meetodi korral kasutab Paper Werewolf RAR-i arhiivi makropitsitud Office'i dokumendiga, mis toimib PowerModuli tilgutajana. See PowerShelli skript võib käivitada täiendavaid skripte C2 serverist, muutes selle mitmekülgseks tagaukseks.
Kasuliku koorma paraad: spionaaži ja nakatumise tööriistakomplekt
PowerModul on olnud kasutusel alates 2024. aasta algusest, peamiselt PowerTaskeli allalaadimiseks ja käitamiseks. Muud märkimisväärsed kasulikud koormused hõlmavad järgmist:
- FlashFileGrabber : varastab failid välkmäluseadmetelt ja eemaldab need.
- FlashFileGrabberOffline : otsib Flash-meedias kindlate laienditega faile ja salvestab need hilisemaks väljafiltreerimiseks kohapeal.
- USB-uss : nakatab mälupulgad PowerModuli koopiaga, et pahavara veelgi levitada.
PowerTaskeli võimalused: rohkem kui lihtsalt skripti täitmine
Kuigi PowerTaskel sarnaneb PowerModuliga, on see võimekam. See saadab 'checkin' sõnumi koos süsteemiteabega, käivitab C2-serverist pärinevaid käske ja saab PsExeci abil privileege suurendada. Ühel juhul nähti, et see käivitas FolderFileGrabberi skripti, mis kogub faile kaugsüsteemidest, kasutades kõvakoodiga SMB võrguteid.
Taktika areng: PowerTaskelist eemaldumine
Paper Werewolf on esimest korda kasutanud esialgseks juurdepääsuks VBA skriptidega petturlikke Wordi dokumente. Hiljutised leiud viitavad ka taktikalisele nihkele, kus rühm eemaldub PowerTaskelist ja tugineb sihitud võrkudes külgsuunas liikumiseks üha enam binaarsetele müütilistele agentidele.
Viimased mõtted: kasvav oht arenevate tehnikatega
Paper Werewolf jätkab oma tehnikate täiustamist ja arsenali laiendamist. Eksklusiivne keskendumine Venemaa üksustele koos häirivate võimete ja areneva nakkusstrateegiaga muudab selle silmapiiril tõsiseks ja püsivaks küberohuks.
