بدافزار PicassoLoader

کارشناسان Infosec مجموعه ای از کمپین های حملات سایبری علیه اهداف در اوکراین و لهستان را شناسایی کرده اند. مجرمان سایبری بر به خطر انداختن نهادهای دولتی، سازمان های نظامی و کاربران غیرنظامی متمرکز هستند. هدف این کمپین ها به دست آوردن غیرقانونی داده های حساس و ایجاد دسترسی مداوم از راه دور به سیستم های در معرض خطر است.

این کمپین نفوذی که از آوریل 2022 تا ژوئیه 2023 را در بر می گیرد، از تاکتیک های مختلفی استفاده می کند. فریب های فیشینگ و اسناد فریب برای فریب قربانیان و تسهیل استقرار یک بدافزار دانلود کننده معروف به PicassoLoader استفاده می شود. این نرم افزار تهدید کننده به عنوان دروازه ای برای راه اندازی ابزارهای ناامن دیگر، به ویژه Cobalt Strike Beacon و njRAT عمل می کند.

فریب‌های فیشینگ تکنیک‌های فریبنده‌ای هستند که برای فریب دادن افراد به افشای اطلاعات حساس مانند نام‌های کاربری، رمزهای عبور یا اعتبار حساب‌ها استفاده می‌شوند. اسناد Decoy فایل های پنهانی هستند که به گونه ای طراحی شده اند که قانونی به نظر برسند اما در واقع حاوی محموله های ناامن هستند. با ترغیب قربانیان به تعامل با این اسناد فریبنده، مهاجمان می توانند دانلودر PicassoLoader را بر روی سیستم خود اجرا کنند.

هنگامی که PicassoLoader با موفقیت مستقر شد، به عنوان مجرای برای مرحله بعدی حمله عمل می کند. نصب و اجرای دو نوع بدافزار اضافی را امکان پذیر می کند: Cobalt Strike Beacon و njRAT. Cobalt Strike Beacon یک ابزار پیشرفته تست نفوذ است که به مهاجمان اجازه می دهد تا دسترسی و کنترل غیرمجاز بر سیستم های در معرض خطر را به دست آورند. در مورد njRAT، این یک تروجان دسترسی از راه دور است که دسترسی غیرمجاز از راه دور به سیستم های آلوده را برای مهاجمان فراهم می کند و به آنها اجازه می دهد تا فعالیت های مخرب را بدون شناسایی انجام دهند.

بدافزار PicassoLoader به عنوان بخشی از یک زنجیره عفونت چند مرحله ای مستقر شده است

مهاجمان پشت PicassoLoader از یک زنجیره عفونت چند مرحله ای برای انجام فعالیت های مضر خود استفاده کردند. مرحله اولیه شامل استفاده از اسناد مایکروسافت آفیس به خطر افتاده بود و فرمت‌های فایل Microsoft Excel و PowerPoint رایج‌ترین آنها بود. این اسناد به عنوان نقطه شروع حمله عمل می کند.

به دنبال اسناد آفیس، یک دانلود کننده اجرایی و بارگیری در یک فایل تصویری پنهان می شوند. این تاکتیک احتمالاً برای ایجاد چالش بیشتر در تشخیص بارگیری کننده و بارگیری برای سیستم های امنیتی به کار گرفته شده است. هدف مهاجمان با پنهان شدن در یک فایل تصویری، دور زدن اقدامات امنیتی و افزایش شانس نفوذ موفق است.

برخی از این حملات به یک عامل تهدید معروف به GhostWriter نسبت داده شده است که با نام های UAC-0057 یا UNC1151 نیز ردیابی می شود. اعتقاد بر این است که انگیزه ها و اهداف GhostWriter با منافع دولت بلاروس مطابقت دارد.

حملات هدفمند متعددی علیه اوکراین مشاهده شده است

شایان ذکر است که زیرمجموعه ای از این حملات قبلاً در سال گذشته توسط تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) مستند شده بود. یک مثال قابل توجه در ژوئیه 2022 رخ داد، جایی که از اسناد پاورپوینت ماکرو برای ارائه بدافزار عامل تسلا استفاده شد. این حادثه استفاده از ماکروها را به عنوان وسیله ای برای توزیع بدافزار و به خطر انداختن سیستم های قربانیان برجسته کرد.

زنجیره‌های عفونت مورد استفاده در این حملات به روش‌های مهندسی اجتماعی برای متقاعد کردن قربانیان برای فعال کردن ماکروها در اسناد آفیس متکی هستند. هنگامی که ماکروها فعال می شوند، یک ماکرو VBA فعال می شود که منجر به استقرار تهدید دانلود کننده DLL PicassoLoader می شود. سپس این دانلودکننده با سایتی که توسط مهاجمان کنترل می شود ارتباط برقرار می کند تا بار مرحله بعدی را که در یک فایل تصویری به ظاهر قانونی جاسازی شده است، بازیابی کند. بدافزار نهایی در این فایل تصویری پنهان شده است.

این افشاهای اخیر توسط CERT-UA همزمان با گزارش آنها در مورد چندین عملیات فیشینگ توزیع بدافزار SmokeLoader است. علاوه بر این، یک حمله کوبنده شناسایی شد که کاربران تلگرام را با هدف به دست آوردن کنترل غیرمجاز بر روی حساب های آنها هدف قرار داد.

GhostWriter تنها یکی از گروه های جرایم سایبری است که اوکراین را هدف قرار می دهد

اوکراین به هدف چندین بازیگر تهدید، از جمله گروه دولت-ملت بدنام روسیه APT28 تبدیل شده است. مشاهده شده است که APT28 از یک تاکتیک ارسال ایمیل های فیشینگ با پیوست های HTML استفاده می کند و گیرندگان را فریب می دهد تا تصور کنند فعالیت مشکوکی در UKR.NET و Yahoo! حساب ها. ایمیل‌ها از کاربران خواسته می‌شود تا رمز عبور خود را تغییر دهند، اما در عوض، آنها را به صفحات فرود جعلی هدایت می‌کنند که برای جمع‌آوری اطلاعات ورود به سیستم طراحی شده‌اند.

این پیشرفت اخیر بخشی از الگوی گسترده‌تری است که در فعالیت‌های هکرهای مرتبط با اطلاعات نظامی روسیه (GRU) مشاهده شده است. آنها یک «کتاب بازی استاندارد پنج مرحله‌ای» را در عملیات‌های مخرب خود علیه اوکراین اتخاذ کرده‌اند که نشان‌دهنده تلاشی عمدی برای افزایش سرعت، مقیاس و شدت حملات خود است.