ایمپلنت PowerModul

عامل تهدید معروف به Paper Werewolf - که به آن GOFFEE نیز گفته می شود - با استفاده از ایمپلنت جدیدی به نام PowerModul به طور انحصاری سازمان های روسی را هدف قرار داده است. بین ژوئیه و دسامبر 2024، حملات آنها به صنایع کلیدی، از جمله رسانه های جمعی، مخابرات، ساخت و ساز، نهادهای دولتی و بخش انرژی به صفر رسید.

یک دشمن دائمی: کمپین ها از سال 2022

گرگینه کاغذی از سال 2022 حداقل هفت کمپین را انجام داده است. تمرکز مداوم این گروه بر اهداف با ارزش در بخش های دولتی، انرژی، مالی و رسانه ای بوده است.

فراتر از جاسوسی: پیچش های مخرب در زنجیره های حمله

عملیات Paper Werewolf فراتر از جاسوسی سایبری سنتی است. مشاهده شده است که زنجیره‌های حمله آن‌ها دارای اجزای مخربی مانند تغییر رمز عبور حساب کارکنان است که نشان‌دهنده قصد فلج کردن عملیات و نه فقط سرقت داده‌ها است.

نقطه ورود: فریب های فیشینگ و PowerRAT

حملات معمولاً با ایمیل‌های فیشینگ حاوی اسناد ماکرو شروع می‌شوند. هنگامی که قربانی به فایل دسترسی پیدا می کند و ماکروها را فعال می کند، یک تروجان دسترسی از راه دور مبتنی بر PowerShell به نام PowerRAT مستقر می شود. این بدافزار زمینه را برای بارهای پیشرفته تر فراهم می کند.

بدافزار سفارشی Arsenal: PowerTaskel، QwakMyAgent و Owowa

بارهای مرحله بعدی اغلب شامل PowerTaskel و QwakMyAgent هستند، نسخه های سفارشی عوامل مبتنی بر چارچوب Mythic. ابزار دیگر، Owowa، یک ماژول مخرب IIS، برای سرقت اطلاعات کاربری Microsoft Outlook که از طریق کلاینت های وب وارد شده است، استفاده می شود.

تاکتیک جدید عفونت: فایل های اجرایی مبدل در آرشیوهای RAR

آخرین موج حملات دارای یک آرشیو RAR مخرب است که حاوی یک فایل اجرایی است که به عنوان یک سند PDF یا Word با استفاده از پسوندهای دوگانه (مثلا *.pdf.exe) پنهان شده است. پس از اجرا، یک سند فریب به کاربر نشان داده می شود در حالی که سیستم به طور بی صدا در پس زمینه آلوده است.

فایل اجرایی در واقع یک فایل سیستمی ویندوز وصله شده (مانند explorer.exe) است که با پوسته کد مخرب حاوی یک عامل Mythic مبهم تعبیه شده است که برای دستورالعمل های بیشتر به سرور C2 متصل می شود.

مسیر حمله جایگزین: PowerModul در مرکز صحنه قرار می گیرد

در یک روش جایگزین، Paper Werewolf از یک آرشیو RAR با یک سند آفیس ماکرو استفاده می کند که به عنوان قطره چکان برای PowerModul عمل می کند. این اسکریپت PowerShell می تواند اسکریپت های اضافی را از سرور C2 اجرا کند و آن را به یک درب پشتی همه کاره تبدیل کند.

رژه محموله: جعبه ابزاری برای جاسوسی و عفونت

PowerModul از اوایل سال 2024 مورد استفاده قرار گرفته است، عمدتاً برای دانلود و اجرای PowerTaskel. سایر محموله های قابل توجه عبارتند از:

• FlashFileGrabber : فایل‌ها را از درایوهای فلش می‌دزدد و آنها را استخراج می‌کند.
• FlashFileGrabberOffline : فایل‌هایی با پسوندهای خاص را در رسانه‌های فلش جستجو می‌کند و آنها را به صورت محلی برای استخراج بعدی ذخیره می‌کند.
• کرم USB : درایوهای فلش را با یک کپی از PowerModul آلوده می کند تا بدافزار را بیشتر گسترش دهد.

قابلیت های PowerTaskel: فراتر از اجرای اسکریپت

در حالی که PowerTaskel شبیه به PowerModul است، توانایی بیشتری دارد. این یک پیام 'checkin' با اطلاعات سیستم ارسال می کند، دستورات را از سرور C2 اجرا می کند و می تواند با استفاده از PsExec امتیازات را افزایش دهد. در یک مورد، مشاهده شد که یک اسکریپت FolderFileGrabber را اجرا می کند که فایل ها را از سیستم های راه دور با استفاده از مسیرهای شبکه SMB کدگذاری شده جمع آوری می کند.

تکامل در تاکتیک ها: دور شدن از PowerTaskel

برای اولین بار، Paper Werewolf از اسناد ورد جعلی با اسکریپت های VBA برای دسترسی اولیه استفاده کرده است. یافته‌های اخیر همچنین نشان‌دهنده یک تغییر تاکتیکی است، با دور شدن گروه از PowerTaskel و تکیه فزاینده‌ای به عوامل اسطوره‌ای دودویی برای حرکت جانبی در شبکه‌های هدف.

افکار نهایی: تهدیدی رو به رشد با تکنیک های در حال تحول

Paper Werewolf به اصلاح تکنیک های خود و گسترش زرادخانه خود ادامه می دهد. تمرکز انحصاری بر نهادهای روسی، همراه با قابلیت‌های مخرب و یک استراتژی در حال تحول عفونت، آن را به یک تهدید سایبری جدی و پایدار در افق تبدیل می‌کند.