PowerModul-istute
Paperi-ihmissenä tunnettu uhkatekijä, jota kutsutaan myös nimellä GOFFEE, on kohdistanut kohteena yksinomaan venäläisiä organisaatioita käyttämällä uutta PowerModul-nimistä implanttia. Heinäkuun ja joulukuun 2024 välisenä aikana heidän hyökkäyksensä kohdistuivat keskeisiin toimialoihin, mukaan lukien joukkotiedotusvälineet, televiestintä, rakentaminen, valtion yksiköt ja energia-ala.
Sisällysluettelo
Pysyvä vastustaja: Kampanjoita vuodesta 2022 lähtien
Paperi-ihmissusi on toteuttanut vähintään seitsemän kampanjaa vuodesta 2022 lähtien. Konsernin johdonmukainen painopiste on ollut arvokkaisiin kohteisiin valtion-, energia-, rahoitus- ja mediasektorilla.
Enemmän kuin vakoilu: tuhoisia käänteitä hyökkäysketjuissa
Paper Werewolfin toiminta ylittää perinteisen kybervakoilun. Heidän hyökkäysketjujensa on havaittu sisältävän häiritseviä osia, kuten työntekijöiden tilien salasanojen vaihtamista, mikä osoittaa aikomuksen lamauttaa toimintaa eikä vain varastaa tietoja.
Aloituspiste: Phishing Lures ja PowerRAT
Hyökkäykset alkavat yleensä phishing-sähköpostiviesteillä, jotka sisältävät makropituisia asiakirjoja. Kun uhri käyttää tiedostoa ja ottaa makrot käyttöön, PowerShell-pohjainen etäkäyttötroijalainen, joka tunnetaan nimellä PowerRAT , otetaan käyttöön. Tämä haittaohjelma luo pohjan edistyneemmille hyötykuormille.
Mukautettu haittaohjelmaarsenaali: PowerTaskel, QwakMyAgent ja Owowa
Seuraavan vaiheen hyötykuormat sisältävät usein PowerTaskelin ja QwakMyAgentin, Mythic-kehykseen perustuvien agenttien mukautetut versiot. Toista työkalua, Owowaa, haitallista IIS-moduulia, käytetään varastamaan Web-asiakkaiden kautta syötetyt Microsoft Outlook -tunnistetiedot.
Uusi tartuntataktiikka: naamioidut suoritettavat RAR-arkistoissa
Uusimmassa hyökkäysaaltossa on haitallinen RAR-arkisto, joka sisältää suoritettavan tiedoston, joka on naamioitu PDF- tai Word-asiakirjaksi käyttämällä kaksoislaajennuksia (esim. *.pdf.exe). Suorituksen yhteydessä houkutusasiakirja näytetään käyttäjälle, kun järjestelmä on hiljaisesti saastunut taustalla.
Suoritettava tiedosto on itse asiassa korjattu Windows-järjestelmätiedosto (kuten explorer.exe), johon on upotettu haitallista shell-koodia, joka sisältää hämärän Mythic-agentin, joka muodostaa yhteyden C2-palvelimeen lisäohjeita varten.
Vaihtoehtoinen hyökkäysreitti: PowerModul ottaa keskivaiheen
Vaihtoehtoisena menetelmänä Paper Werewolf käyttää RAR-arkistoa makropituisen Office-asiakirjan kanssa, joka toimii PowerModulin tiputtimena. Tämä PowerShell-skripti voi suorittaa lisäkomentosarjoja C2-palvelimelta, mikä tekee siitä monipuolisen takaoven.
Hyötykuormaparaati: Vakoilun ja tartunnan työkalupakki
PowerModul on ollut käytössä vuoden 2024 alusta lähtien ensisijaisesti PowerTaskelin lataamiseen ja suorittamiseen. Muita merkittäviä hyötykuormia ovat:
- FlashFileGrabber : Varastaa tiedostoja flash-asemista ja suodattaa ne.
- FlashFileGrabberOffline : Etsii tiedostoja, joilla on tietyt tiedostotunnisteet, flash-medialta ja tallentaa ne paikallisesti myöhempää suodatusta varten.
- USB-mato : Saastuttaa flash-asemat PowerModul-kopiolla levittääkseen haittaohjelmia edelleen.
PowerTaskelin ominaisuudet: enemmän kuin vain komentosarjan suoritus
Vaikka PowerTaskel on samanlainen kuin PowerModul, se on tehokkaampi. Se lähettää "checkin"-viestin järjestelmätiedoilla, suorittaa komentoja C2-palvelimelta ja voi laajentaa oikeuksia PsExecin avulla. Yhdessä tapauksessa sen nähtiin suorittavan FolderFileGrabber-komentosarjaa, joka kerää tiedostoja etäjärjestelmistä käyttäen kovakoodattuja SMB-verkkopolkuja.
Evoluutio taktiikoissa: siirtyminen pois PowerTaskelista
Paper Werewolf on ensimmäistä kertaa käyttänyt VBA-skripteillä varustettuja vilpillisiä Word-asiakirjoja alkuperäiseen käyttöön. Viimeaikaiset havainnot osoittavat myös taktisen muutoksen, kun ryhmä siirtyy pois PowerTaskelista ja luottaa yhä enemmän binaarisiin myyttisiin agentteihin sivuttaisliikkeessä kohdistetuissa verkoissa.
Viimeiset ajatukset: kasvava uhka kehittyvillä tekniikoilla
Paper Werewolf jatkaa tekniikoiden hiomista ja arsenaalin laajentamista. Yksinomainen keskittyminen venäläisiin kokonaisuuksiin yhdistettynä häiritseviin kykyihin ja kehittyvään tartuntastrategiaan tekee siitä vakavan ja jatkuvan kyberuhan horisontissa.
