שתל PowerModul

שחקן האיום המכונה איש זאב נייר - המכונה גם GOFFEE - מכוון באופן בלעדי לארגונים רוסיים באמצעות שתל חדש בשם PowerModul. בין יולי לדצמבר 2024, ההתקפות שלהם התאפסו על תעשיות מפתח, כולל תקשורת המונים, טלקומוניקציה, בנייה, גופים ממשלתיים ומגזר האנרגיה.

יריב מתמשך: מסעות פרסום מאז 2022

איש הזאב הנייר ביצע לפחות שבעה קמפיינים מאז 2022. ההתמקדות העקבית של הקבוצה הייתה ביעדים בעלי ערך גבוה במגזרי הממשלה, האנרגיה, הפיננסים והמדיה.

יותר מריגול: פיתולים הרסניים בשרשראות התקפה

הפעולות של Paper Werewolf חורגות מעבר לריגול סייבר מסורתי. שרשראות ההתקפה שלהם נצפו בשילוב רכיבים משבשים, כמו החלפת סיסמאות לחשבונות עובדים, המצביעים על כוונה לשתק פעולות ולא רק לגנוב נתונים.

נקודת כניסה: פתיונות דיוג ו-PowerRAT

ההתקפות מתחילות בדרך כלל בדוא"ל דיוג המכילים מסמכים עם מאקרו. ברגע שהקורבן ניגש לקובץ ומאפשר פקודות מאקרו, פרוס טרויאני גישה מרחוק מבוסס PowerShell המכונה PowerRAT . תוכנה זדונית זו מכינה את הבמה למטענים מתקדמים יותר.

ארסנל תוכנה זדונית מותאמת אישית: PowerTaskel, QwakMyAgent ו-Oowa

המטענים בשלב הבא כוללים לעתים קרובות את PowerTaskel ו-QwakMyAgent, גרסאות מותאמות אישית של סוכנים המבוססות על המסגרת Mythic. כלי נוסף, Owowa, מודול IIS זדוני, משמש לגניבת אישורי Microsoft Outlook שהוזנו דרך לקוחות אינטרנט.

טקטיקת זיהום חדשה: קבצי הפעלה מוסווים בארכיוני RAR

גל ההתקפות האחרון כולל ארכיון RAR זדוני המכיל קובץ הפעלה המחופש למסמך PDF או וורד באמצעות הרחבות כפולות (למשל, *.pdf.exe). עם הביצוע, מסמך פתיל מוצג למשתמש בעוד המערכת נגועה בשקט ברקע.

קובץ ההפעלה הוא למעשה קובץ מערכת Windows מתוקן (כמו explorer.exe), המוטבע בקוד מעטפת זדוני המכיל סוכן Mythic מעורפל, שמתחבר לשרת C2 לקבלת הוראות נוספות.

מסלול התקפה חלופי: PowerModul תופס את מרכז הבמה

בשיטה חלופית, Paper Werewolf משתמש בארכיון RAR עם מסמך Office מרוכז במאקרו, שפועל כטפטף עבור PowerModul. סקריפט PowerShell זה יכול להפעיל סקריפטים נוספים משרת C2, מה שהופך אותו לדלת אחורית רב-תכליתית.

מצעד מטען: ערכת כלים לריגול וזיהום

PowerModul נמצא בשימוש מאז תחילת 2024, בעיקר כדי להוריד ולהפעיל את PowerTaskel. מטענים בולטים אחרים כוללים:

• FlashFileGrabber : גונב קבצים מכונני הבזק ומחלץ אותם.
• FlashFileGrabberOffline : מחפש קבצים עם הרחבות ספציפיות במדיה פלאש ומאחסן אותם באופן מקומי להסרה מאוחרת יותר.
• תולעת USB : מדביק כונני הבזק בעותק של PowerModul כדי להפיץ את התוכנה הזדונית הלאה.

היכולות של PowerTaskel: יותר מסתם ביצוע סקריפט

בעוד שדומה ל-PowerModul, PowerTaskel מסוגל יותר. הוא שולח הודעת 'צ'ק-אין' עם מידע מערכת, מריץ פקודות משרת C2 ויכול להסלים הרשאות באמצעות PsExec. במקרה אחד, הוא נראה מבצע סקריפט FolderFileGrabber שאוסף קבצים ממערכות מרוחקות באמצעות נתיבי רשת SMB מקודדים.

אבולוציה בטקטיקה: התרחקות מ-PowerTaskel

בפעם הראשונה, Paper Werewolf השתמשה במסמכי Word הונאה עם סקריפטים של VBA לגישה ראשונית. הממצאים האחרונים גם מצביעים על שינוי טקטי, כאשר הקבוצה מתרחקת מ-PowerTaskel ונשענת יותר ויותר על סוכנים מיתיים בינאריים לתנועה לרוחב בתוך רשתות ממוקדות.

מחשבות אחרונות: איום הולך וגובר עם טכניקות מתפתחות

איש זאב הנייר ממשיך לשכלל את הטכניקות שלו ולהרחיב את הארסנל שלו. ההתמקדות הבלעדית בישויות רוסיות, בשילוב עם יכולות משבשות ואסטרטגיית זיהום מתפתחת, הופכת אותה לאיום סייבר רציני ומתמשך באופק.