PowerModul implantat
Prijetnja poznata kao Paper Werewolf—također poznata kao GOFFEE—je isključivo ciljala na ruske organizacije koristeći novi implantat pod nazivom PowerModul. Između srpnja i prosinca 2024. njihovi su napadi bili usmjereni na ključne industrije, uključujući masovne medije, telekomunikacije, građevinarstvo, vladina tijela i energetski sektor.
Sadržaj
Uporni protivnik: kampanje od 2022
Papirnati vukodlak proveo je najmanje sedam kampanja od 2022. Konzistentan fokus grupe bio je na ciljevima visoke vrijednosti unutar vladinog, energetskog, financijskog i medijskog sektora.
Više od špijunaže: Destruktivni zaokreti u lancima napada
Operacije Paper Werewolfa nadilaze tradicionalnu kibernetičku špijunažu. Uočeno je da njihovi lanci napada uključuju remetilačke komponente, kao što je mijenjanje lozinki računa zaposlenika, što ukazuje na namjeru da se onemoguće operacije, a ne samo krađa podataka.
Ulazna točka: mamci za krađu identiteta i PowerRAT
Napadi obično započinju s phishing e-porukama koje sadrže dokumente s makronaredbama. Nakon što žrtva pristupi datoteci i omogući makronaredbe, postavlja se trojanac za udaljeni pristup temeljen na PowerShell-u poznat kao PowerRAT . Ovaj zlonamjerni softver postavlja pozornicu za naprednije sadržaje.
Prilagođeni arsenal zlonamjernog softvera: PowerTaskel, QwakMyAgent i Owowa
Korisna opterećenja sljedeće faze često uključuju PowerTaskel i QwakMyAgent, prilagođene verzije agenata temeljene na Mythic okviru. Drugi alat, Owowa, zlonamjerni IIS modul, koristi se za krađu Microsoft Outlook vjerodajnica unesenih putem web klijenata.
Nova taktika zaraze: prikrivene izvršne datoteke u RAR arhivama
Najnoviji val napada uključuje zlonamjernu RAR arhivu koja sadrži izvršnu datoteku prerušenu u PDF ili Word dokument koristeći dvostruke ekstenzije (npr. *.pdf.exe). Nakon izvođenja, korisniku se prikazuje dokument mamac dok se sustav tiho inficira u pozadini.
Izvršna datoteka je zapravo zakrpana Windows sistemska datoteka (poput explorer.exe), ugrađena sa zlonamjernim shellcodeom koji sadrži maskirani Mythic agent, koji se povezuje na C2 poslužitelj za daljnje upute.
Alternativna ruta napada: PowerModul zauzima središnje mjesto
U alternativnoj metodi, Paper Werewolf koristi RAR arhivu s dokumentom sustava Office s makronaredbama koji djeluje kao kapaljka za PowerModul. Ova PowerShell skripta može izvršavati dodatne skripte s C2 poslužitelja, što je čini svestranim stražnjim vratima.
Payload Parade: alat za špijunažu i zarazu
PowerModul se koristi od početka 2024., prvenstveno za preuzimanje i pokretanje PowerTaskela. Ostala značajna korisna opterećenja uključuju:
- FlashFileGrabber : krade datoteke s flash pogona i eksfiltrira ih.
- FlashFileGrabberOffline : Traži datoteke s određenim ekstenzijama na flash medijima i pohranjuje ih lokalno za kasniju eksfiltraciju.
- USB crv : Inficira flash diskove kopijom PowerModula kako bi dalje širio malware.
Mogućnosti PowerTaskela: Više od pukog izvršavanja skripte
Iako je sličan PowerModulu, PowerTaskel je sposobniji. Šalje 'checkin' poruku s informacijama o sustavu, pokreće naredbe s C2 poslužitelja i može eskalirati privilegije pomoću PsExeca. U jednom slučaju, viđeno je izvršavanje skripte FolderFileGrabber koja prikuplja datoteke s udaljenih sustava koristeći tvrdo kodirane SMB mrežne staze.
Evolucija u taktici: prelazak s PowerTaskela
Po prvi put Paper Werewolf upotrijebio je lažne Word dokumente s VBA skriptama za početni pristup. Nedavna otkrića također ukazuju na taktičku promjenu, sa skupinom koja se udaljava od PowerTaskela i sve se više oslanja na binarne Mythic agente za bočno kretanje unutar ciljanih mreža.
Završne misli: Rastuća prijetnja s tehnikama koje se razvijaju
Paper Werewolf nastavlja usavršavati svoje tehnike i širiti svoj arsenal. Isključivi fokus na ruske entitete, u kombinaciji s razornim sposobnostima i strategijom zaraze koja se razvija, čini ga ozbiljnom i postojanom kibernetičkom prijetnjom na horizontu.
