PicassoLoader rosszindulatú program
Az Infosec szakértői egy sor kibertámadási kampányt azonosítottak Ukrajnában és Lengyelországban. A kiberbűnözők a kormányzati szervek, katonai szervezetek és civil felhasználók kompromittálására összpontosítanak. Ezek a kampányok célja érzékeny adatok illegális megszerzése és folyamatos távoli hozzáférés biztosítása a feltört rendszerekhez.
A 2022 áprilisától 2023 júliusáig tartó időszakot felölelő behatolási kampány különféle taktikákat alkalmaz. Adathalász csalikat és csalidokumentumokat alkalmaznak az áldozatok megtévesztésére és a PicassoLoader néven ismert letöltő rosszindulatú program telepítésének megkönnyítésére. Ez a fenyegető szoftver átjáróként szolgál más nem biztonságos eszközök, különösen a Cobalt Strike Beacon és az njRAT elindításához.
Az adathalász csalik olyan megtévesztő technikák, amelyekkel ráveszik az egyéneket érzékeny adatok, például felhasználónevek, jelszavak vagy fiók hitelesítő adatainak felfedésére. A csali dokumentumok álcázott fájlok, amelyeket úgy terveztek, hogy legitimnek tűnjenek, de valójában nem biztonságos rakományt tartalmaznak. Azáltal, hogy az áldozatokat ezekkel a csalidokumentumokkal való interakcióra csábítják, a támadók végrehajthatják a PicassoLoader letöltőt a rendszerükön.
A PicassoLoader sikeres telepítése után csatornaként szolgál a támadás következő szakaszához. Két további típusú rosszindulatú program telepítését és végrehajtását teszi lehetővé: a Cobalt Strike Beacon és az njRAT. A Cobalt Strike Beacon egy kifinomult behatolást vizsgáló eszköz, amely lehetővé teszi a támadók számára, hogy jogosulatlan hozzáférést kapjanak, és irányítást szerezzenek a feltört rendszerek felett. Ami az njRAT-ot illeti, ez egy távoli hozzáférésű trójai, amely jogosulatlan távoli hozzáférést biztosít a támadóknak a fertőzött rendszerekhez, lehetővé téve számukra, hogy észrevétlenül hajtsanak végre rosszindulatú tevékenységeket.
Tartalomjegyzék
A PicassoLoader malware egy többlépcsős fertőzési lánc részeként kerül telepítésre
A PicassoLoader mögött álló támadók egy többlépcsős fertőzési láncot használtak káros tevékenységeik végrehajtására. A kezdeti szakaszban kompromittált Microsoft Office dokumentumokat használtak, a Microsoft Excel és a PowerPoint fájlformátumok közül a leggyakrabban használt. Ezek a dokumentumok szolgálnak kiindulópontul a támadáshoz.
Az Office dokumentumokat követően a végrehajtható letöltő és a hasznos adat egy képfájlban van elrejtve. Ezt a taktikát valószínűleg azért alkalmazták, hogy a letöltő és a hasznos teher észlelését nagyobb kihívást tegyék a biztonsági rendszerek számára. Egy képfájlba rejtőzve a támadók célja a biztonsági intézkedések megkerülése és a sikeres beszivárgás esélyének növelése.
E támadások némelyikét a GhostWriter néven ismert fenyegetés szereplőjének tulajdonították, amelyet UAC-0057 vagy UNC1151 néven is követnek. A GhostWriter motivációi és céljai vélhetően összhangban vannak a fehérorosz kormány érdekeivel.
Számos célzott támadást figyeltek meg Ukrajna ellen
Érdemes megemlíteni, hogy e támadások egy részét az ukrán Computer Emergency Response Team (CERT-UA) az elmúlt évben már dokumentálta. Az egyik figyelemre méltó példa 2022 júliusában történt, amikor makrókkal terhelt PowerPoint-dokumentumokat alkalmaztak az Agent Tesla kártevő kézbesítésére. Ez az incidens rávilágított a makrók használatára a rosszindulatú programok terjesztésére és az áldozatok rendszereinek feltörésére.
Az ezekben a támadásokban használt fertőzési láncok social engineering módszerekre támaszkodnak, hogy meggyőzzék az áldozatokat, hogy engedélyezzék a makrókat az Office-dokumentumokban. A makrók engedélyezése után egy VBA-makró aktiválódik, ami a PicassoLoader DLL letöltő fenyegetés telepítéséhez vezet. Ez a letöltő ezután kapcsolatot létesít a támadók által ellenőrzött hellyel, hogy lekérje a következő szakaszban lévő hasznos adatot, amely egy látszólag legitim képfájlba van beágyazva. A végső rosszindulatú program ebben a képfájlban van elrejtve.
A CERT-UA legutóbbi közzétételei egybeesnek a SmokeLoader rosszindulatú szoftvert terjesztő több adathalász műveletről szóló jelentésükkel. Ezen túlmenően egy átütő támadást is azonosítottak, amely a Telegram-felhasználókat célozta meg azzal a céllal, hogy jogosulatlan ellenőrzést szerezzenek fiókjaik felett.
A GhostWriter csak egy az Ukrajnát célzó számítógépes bűnözési csoportok közül
Ukrajna számos fenyegető szereplő célpontjává vált, köztük a hírhedt orosz nemzetállami csoport, az APT28 . Megfigyelték, hogy az APT28 olyan taktikát alkalmaz, hogy HTML-mellékleteket tartalmazó adathalász e-maileket küld, ezzel elhiteti a címzettekkel, hogy gyanús tevékenység történt az UKR.NET-ben és a Yahoo! fiókok. Az e-mailek arra kérik a felhasználókat, hogy változtassák meg jelszavaikat, de ehelyett hamis nyitóoldalakra vezetik őket, amelyek a bejelentkezési adatok gyűjtésére szolgálnak.
Ez a közelmúltbeli fejlemény egy szélesebb minta része, amelyet az orosz katonai hírszerzéshez (GRU) kötődő hackerek tevékenységében figyeltek meg. Az Ukrajna elleni bomlasztó hadműveleteik során „szokványos ötfázisú játékkönyvet” alkalmaztak, amely szándékos erőfeszítést tesz támadásaik sebességének, mértékének és intenzitásának fokozására.
