PicassoLoader-haittaohjelma
Infosecin asiantuntijat ovat tunnistaneet joukon kyberhyökkäyskampanjoita Ukrainassa ja Puolassa olevia kohteita vastaan. Kyberrikolliset keskittyvät vaarantamaan valtion yksiköitä, sotilasjärjestöjä ja siviilikäyttäjiä. Näillä kampanjoilla pyritään hankkimaan luvattomasti arkaluontoisia tietoja ja luomaan jatkuva etäkäyttö vaarantuneisiin järjestelmiin.
Huhtikuusta 2022 heinäkuuhun 2023 ulottuvassa tunkeutumiskampanjassa hyödynnetään erilaisia taktiikoita. Tietojenkalasteluvieheitä ja houkutusasiakirjoja käytetään uhrien huijaamiseen ja PicassoLoader-nimisen lataushaittaohjelman käyttöönoton helpottamiseksi. Tämä uhkaava ohjelmisto toimii porttina käynnistää muita vaarallisia työkaluja, erityisesti Cobalt Strike Beacon ja njRAT .
Tietojenkalasteluvieheet ovat petollisia tekniikoita, joita käytetään huijaamaan henkilöitä paljastamaan arkaluonteisia tietoja, kuten käyttäjänimiä, salasanoja tai tilitietoja. Salausasiakirjat ovat naamioituja tiedostoja, jotka on suunniteltu näyttämään laillisilta, mutta sisältävät itse asiassa vaarallisia hyötykuormia. Houkuttelemalla uhreja olemaan vuorovaikutuksessa näiden houkutusasiakirjojen kanssa, hyökkääjät voivat suorittaa PicassoLoader-latausohjelman järjestelmiinsä.
Kun PicassoLoader on otettu käyttöön onnistuneesti, se toimii kanavana hyökkäyksen seuraavalle vaiheelle. Se mahdollistaa kahden muun haittaohjelman asennuksen ja suorittamisen: Cobalt Strike Beaconin ja njRAT:n. Cobalt Strike Beacon on hienostunut tunkeutumistestaustyökalu, jonka avulla hyökkääjät voivat päästä luvattomasti käsiksi ja hallita vaarantuneita järjestelmiä. Mitä tulee njRAT:iin, se on etäkäyttötroijalainen, joka tarjoaa hyökkääjille luvattoman etäkäytön tartunnan saaneisiin järjestelmiin, jolloin he voivat suorittaa haitallisia toimia huomaamatta.
Sisällysluettelo
PicassoLoader-haittaohjelma on otettu käyttöön osana monivaiheista infektioketjua
PicassoLoaderin takana olevat hyökkääjät käyttivät monivaiheista infektioketjua suorittaakseen haitallisia toimiaan. Alkuvaiheessa käytettiin Microsoft Office -asiakirjoja, joista yleisimmin käytettiin Microsoft Excel- ja PowerPoint-tiedostomuotoja. Nämä asiakirjat toimivat hyökkäyksen lähtökohtana.
Office-asiakirjojen jälkeen suoritettava latausohjelma ja hyötykuorma on piilotettu kuvatiedoston sisään. Tätä taktiikkaa käytettiin todennäköisesti tekemään latausohjelman ja hyötykuorman havaitsemisesta entistä haastavampaa turvajärjestelmille. Piilotumalla kuvatiedostoon hyökkääjät pyrkivät ohittamaan turvatoimenpiteet ja lisäämään onnistuneen tunkeutumisen mahdollisuuksia.
Jotkin näistä hyökkäyksistä on liitetty GhostWriter-nimiseen uhkatekijään, joka on myös jäljitetty nimellä UAC-0057 tai UNC1151. GhostWriterin motivaatioiden ja tavoitteiden uskotaan vastaavan Valko-Venäjän hallituksen etuja.
Lukuisia kohdennettuja hyökkäyksiä Ukrainaa vastaan on havaittu
On syytä mainita, että Ukrainan Computer Emergency Response Team (CERT-UA) oli dokumentoinut osan näistä hyökkäyksistä jo kuluneen vuoden aikana. Yksi merkittävä esimerkki tapahtui heinäkuussa 2022, jolloin Agent Tesla -haittaohjelman toimittamiseen käytettiin makrokuormitettuja PowerPoint-dokumentteja. Tämä tapaus korosti makrojen käyttöä keinona levittää haittaohjelmia ja vaarantaa uhrien järjestelmiä.
Näissä hyökkäyksissä käytetyt tartuntaketjut perustuvat sosiaalisen manipuloinnin menetelmiin vakuuttaakseen uhrit ottamaan makrot käyttöön Office-asiakirjoissa. Kun makrot on otettu käyttöön, VBA-makro käynnistyy, mikä johtaa PicassoLoader DLL -latausuhan käyttöön. Tämä latausohjelma muodostaa sitten yhteyden hyökkääjien hallitsemaan sivustoon hakeakseen seuraavan vaiheen hyötykuorman, joka on upotettu näennäisesti lailliseen kuvatiedostoon. Lopullinen haittaohjelma on piilotettu tähän kuvatiedostoon.
Nämä CERT-UA:n äskettäiset ilmoitukset osuvat yhteen niiden raportoimien useista tietojenkalastelutoimista, jotka levittävät SmokeLoader-haittaohjelmaa. Lisäksi tunnistettiin törkeä hyökkäys, joka kohdistui Telegramin käyttäjiin tarkoituksenaan saada luvaton hallinta heidän tileihinsä.
GhostWriter on vain yksi Ukrainaan kohdistuvista kyberrikollisuusryhmistä
Ukrainasta on tullut useiden uhkatekijöiden kohde, mukaan lukien pahamaineinen venäläinen kansallisvaltioryhmä APT28 . APT28:n on havaittu käyttävän taktiikkaa, jossa lähetetään HTML-liitteitä sisältäviä phishing-sähköposteja, mikä huijaa vastaanottajat uskomaan, että heidän UKR.NET- ja Yahoo! tilit. Sähköpostit kehottavat käyttäjiä vaihtamaan salasanansa, mutta sen sijaan ohjaavat heidät väärennetyille aloitussivuille, jotka on suunniteltu keräämään heidän kirjautumistietonsa.
Tämä viimeaikainen kehitys on osa laajempaa mallia, joka on havaittu Venäjän sotilastiedusteluun (GRU) liittyvien hakkerien toiminnassa. He ovat ottaneet käyttöön "tavanomaisen viiden vaiheen pelikirjan" Ukrainaa vastaan vastaisissa häiriöoperaatioissaan, mikä osoittaa tarkoituksellista pyrkimystä lisätä hyökkäystensa nopeutta, laajuutta ja voimakkuutta.
