תוכנת זדונית PicassoLoader
מומחי Infosec זיהו סדרה של קמפיינים לתקיפות סייבר נגד מטרות באוקראינה ובפולין. פושעי סייבר מתמקדים בסכנת גופים ממשלתיים, ארגונים צבאיים ומשתמשים אזרחיים. מסעות פרסום אלו שואפים להשיג מידע רגיש באופן לא חוקי וליצור גישה מרחוק רציפה למערכות שנפרצו.
מסע החדירה הזה משתרע על תקופה מאפריל 2022 עד יולי 2023, משתמש בטקטיקות שונות. פתיונות דיוג ומסמכי הטעיה משמשים כדי להונות קורבנות ולהקל על פריסת תוכנה זדונית להורדה הידועה בשם PicassoLoader. תוכנה מאיימת זו משמשת כשער להפעלת כלים לא בטוחים אחרים, במיוחד את Cobalt Strike Beacon ו- njRAT .
פתיונות דיוג הם טכניקות מטעות המשמשות כדי להערים על אנשים לחשוף מידע רגיש, כגון שמות משתמש, סיסמאות או אישורי חשבון. מסמכי הטעיה הם קבצים מוסווים שנועדו להיראות לגיטימיים אך למעשה מכילים מטענים לא בטוחים. על ידי פיתוי קורבנות לקיים אינטראקציה עם מסמכי ההטעיה הללו, התוקפים יכולים להפעיל את הורדת PicassoLoader במערכות שלהם.
לאחר פריסת PicassoLoader בהצלחה, הוא משמש כצינור לשלב הבא של המתקפה. הוא מאפשר התקנה וביצוע של שני סוגים נוספים של תוכנות זדוניות: Cobalt Strike Beacon ו-njRAT. Cobalt Strike Beacon הוא כלי מתוחכם לבדיקת חדירה המאפשר לתוקפים לקבל גישה ושליטה בלתי מורשית על מערכות שנפגעו. באשר ל-njRAT, זהו טרויאני גישה מרחוק המספק לתוקפים גישה מרחוק בלתי מורשית למערכות הנגועות, מה שמאפשר להם לבצע פעילויות זדוניות ללא זיהוי.
תוכן העניינים
התוכנה הזדונית של PicassoLoader נפרסת כחלק משרשרת זיהום רב-שלבית
התוקפים מאחורי PicassoLoader השתמשו בשרשרת זיהום רב-שלבית כדי לבצע את הפעילויות המזיקות שלהם. השלב הראשוני כלל שימוש במסמכי Microsoft Office שנפגעו, כאשר פורמטים של Microsoft Excel ו-PowerPoint הם הפורמטים הנפוצים ביותר. מסמכים אלו משמשים כנקודת המוצא למתקפה.
בעקבות מסמכי Office, תוכנת הורדה וטעינה להפעלה מוסתרים בתוך קובץ תמונה. טקטיקה זו נוצלה ככל הנראה כדי להפוך את זיהוי ההורדה והמטען למאתגר יותר עבור מערכות אבטחה. על ידי הסתרה בתוך קובץ תמונה, התוקפים שואפים לעקוף את אמצעי האבטחה ולהגדיל את הסיכוי לחדירה מוצלחת.
חלק מההתקפות הללו יוחסו לשחקן איום המכונה GhostWriter, המעקב גם הוא UAC-0057 או UNC1151. המניעים והיעדים של GhostWriter עולים בקנה אחד עם האינטרסים של ממשלת בלארוס.
התקפות ממוקדות רבות נגד אוקראינה נצפו
ראוי להזכיר שתת-קבוצה של התקפות אלה כבר תועדה במהלך השנה האחרונה על ידי צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA). דוגמה בולטת אחת התרחשה ביולי 2022, שבה הופעלו מסמכי PowerPoint עמוסי מאקרו כדי לספק את התוכנה הזדונית של Agent Tesla . תקרית זו הדגישה את השימוש בפקודות מאקרו כאמצעי להפצת תוכנות זדוניות ולפגיעה במערכות של קורבנות.
שרשראות ההדבקה המשמשות בהתקפות אלו מסתמכות על שיטות הנדסה חברתית כדי לשכנע את הקורבנות לאפשר פקודות מאקרו בתוך מסמכי ה-Office. לאחר הפעלת פקודות המאקרו, מופעל מאקרו VBA, מה שמוביל לפריסה של איום הורדת ה-DLL PicassoLoader. הורדה זו יוצר חיבור עם אתר שנשלט על ידי התוקפים כדי לאחזר את מטען השלב הבא, המוטמע בתוך קובץ תמונה לגיטימי לכאורה. התוכנה הזדונית הסופית מוסתרת בתוך קובץ התמונה הזה.
גילויים אחרונים אלה של CERT-UA חופפים לדיווח שלהם על מספר פעולות דיוג המפיצות את התוכנה הזדונית SmokeLoader. בנוסף, זוהתה מתקפת ריסוק, המכוונת למשתמשי טלגרם במטרה להשיג שליטה בלתי מורשית על חשבונותיהם.
GhostWriter היא רק אחת מקבוצות פשעי סייבר המכוונות לאוקראינה
אוקראינה הפכה למטרה עבור גורמי איומים רבים, כולל קבוצת מדינת הלאום הרוסית הידועה לשמצה APT28 . APT28 נצפתה נוקטת טקטיקה של שליחת דוא"ל דיוג עם קבצי HTML, מרמה את הנמענים להאמין שיש פעילות חשודה ב-UKR.NET וב-Yahoo! חשבונות. האימיילים מניחים את המשתמשים לשנות את הסיסמאות שלהם, אך במקום זאת, מובילים אותם לדפי נחיתה מזויפים שנועדו לאסוף את אישורי הכניסה שלהם.
ההתפתחות האחרונה היא חלק מדפוס רחב יותר שנצפה בפעילותם של האקרים הקשורים למודיעין הצבאי הרוסי (GRU). הם אימצו 'ספר משחק סטנדרטי של חמישה שלבים' בפעולות ההפרעות שלהם נגד אוקראינה, והפגינו מאמץ מכוון לשפר את המהירות, קנה המידה והעוצמה של ההתקפות שלהם.
