Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware PowerModul implantátum

PowerModul implantátum

Mezo -ra Malware, Hátsó ajtók-ben
Fordítás ide:
Magyar

A Paper Werewolf néven ismert fenyegetettség – más néven GOFFEE – kizárólag az orosz szervezeteket célozta meg egy új, PowerModul nevű implantátummal. 2024 júliusa és decembere között támadásaik a kulcsfontosságú iparágak ellen irányultak, beleértve a tömegmédiát, a távközlést, az építkezést, a kormányzati szerveket és az energiaszektort.

Kitartó ellenfél: kampányok 2022 óta

A Paper Werewolf 2022 óta legalább hét kampányt hajtott végre. A csoport következetesen a nagy értékű célokra összpontosított a kormányzati, energia-, pénzügyi és médiaszektoron belül.

Több mint kémkedés: Pusztító fordulatok a támadási láncokban

A Paper Werewolf tevékenysége túlmutat a hagyományos kiberkémkedésen. Megfigyelték, hogy támadási láncaik olyan zavaró összetevőket tartalmaznak, mint például az alkalmazottak jelszavának megváltoztatása, ami azt jelzi, hogy nem csak adatlopást, hanem műveleteket is megbénítanak.

Belépési pont: Adathalász csalik és PowerRAT

A támadások jellemzően makrófűzött dokumentumokat tartalmazó adathalász e-mailekkel kezdődnek. Miután az áldozat hozzáfér a fájlhoz, és engedélyezi a makrókat, a PowerRAT néven ismert PowerShell-alapú távoli hozzáférésű trójai program kerül telepítésre. Ez a rosszindulatú program megalapozza a fejlettebb rakományokat.

Egyéni rosszindulatú programok arzenálja: PowerTaskel, QwakMyAgent és Owowa

A következő szakasz hasznos terhelései gyakran tartalmazzák a PowerTaskel és a QwakMyAgent, az ügynökök Mythic keretrendszeren alapuló egyedi verzióit. Egy másik eszköz, az Owowa, egy rosszindulatú IIS-modul, a webes klienseken keresztül bevitt Microsoft Outlook hitelesítő adatok ellopására szolgál.

Új fertőzési taktika: álcázott végrehajtható személyek a RAR archívumában

A legújabb támadási hullám egy rosszindulatú RAR archívumot tartalmaz, amely PDF- vagy Word-dokumentumnak álcázott végrehajtható fájlt tartalmaz kettős kiterjesztéssel (pl. *.pdf.exe). Végrehajtáskor egy csali dokumentum jelenik meg a felhasználó számára, miközben a rendszer csendben fertőződik a háttérben.

A végrehajtható fájl valójában egy javított Windows-rendszerfájl (például az explorer.exe), amely rosszindulatú shellkóddal van beágyazva, amely egy elhomályosított Mythic ügynököt tartalmaz, amely további utasításokért csatlakozik a C2-kiszolgálóhoz.

Alternatív támadási útvonal: a PowerModul a középpontba kerül

Egy másik módszer szerint a Paper Werewolf egy RAR archívumot használ egy makrófűzött Office-dokumentummal, amely a PowerModul csepegtetőjeként működik. Ez a PowerShell-szkript további szkripteket tud végrehajtani a C2-kiszolgálóról, így sokoldalú háttérajtóvá válik.

Payload Parade: Eszköztár a kémkedéshez és a fertőzéshez

A PowerModul 2024 eleje óta használatban van, elsősorban a PowerTaskel letöltésére és futtatására. Egyéb figyelemre méltó rakományok:

  • FlashFileGrabber : Fájlokat lop el a flash meghajtókról, és kiszűri őket.
  • FlashFileGrabberOffline : meghatározott kiterjesztésű fájlokat keres a flash adathordozón, és helyben tárolja őket későbbi kiszűrés céljából.
  • USB féreg : megfertőzi a flash meghajtókat a PowerModul egy példányával, hogy tovább terjeszthesse a kártevőt.

A PowerTaskel képességei: több, mint pusztán szkript-végrehajtás

Bár a PowerModulhoz hasonló, a PowerTaskel képesebb. „Checkin” üzenetet küld a rendszerinformációkkal, parancsokat futtat a C2 szerverről, és a PsExec segítségével kiterjesztheti a jogosultságokat. Egy esetben egy FolderFileGrabber szkriptet hajtottak végre, amely a távoli rendszerekről gyűjti össze a fájlokat keménykódolt SMB-hálózati útvonalak használatával.

Evolúció a taktikában: Eltérés a PowerTaskeltől

A Paper Werewolf most először használt hamis Word-dokumentumokat VBA-szkriptekkel a kezdeti hozzáféréshez. A legújabb eredmények taktikai eltolódást is jeleznek, amikor a csoport eltávolodik a PowerTaskeltől, és egyre inkább a bináris mitikus ágensekre hagyatkozik a célzott hálózatokon belüli oldalirányú mozgáshoz.

Végső gondolatok: Növekvő fenyegetés fejlődő technikákkal

A Paper Werewolf továbbra is finomítja technikáit és bővíti arzenálját. Az orosz entitásokra való kizárólagos összpontosítás, a bomlasztó képességekkel és a fejlődő fertőzési stratégiával kombinálva komoly és tartós kiberfenyegetést jelent a láthatáron.

Felkapott

VoxFlowG USDT Airdrop e-mail átverés

Adathalászat, Spam
A kriptovaluta térnyerésével a csalók egyre megtévesztőbb taktikákat dolgoztak ki, hogy rávegyék a felhasználókat arra, hogy eladják digitális eszközeiket. Az egyik ilyen csaló séma a VoxFlowG USDT Airdrop e-mail átverés, amely gyanútlan személyeket zsákmányol azzal, hogy ingyenes tethert (USDT) ígér. Ez a taktika arra szolgál, hogy pénzt gyűjtsön az áldozatok kriptovaluta pénztárcájából. A...

Chase – Az átvitel folyamatban van, és levonásra...

Adathalászat, Spam
Az internet tele van lehetőségekkel és kényelemmel, ugyanakkor táptalaj a kiberfenyegetések számára. A csalók folyamatosan új módszereket dolgoznak ki a felhasználók megtévesztésére, érzékeny adatok ellopására és a pénzügyi számlák kihasználására. Az egyik ilyen séma a „Chase – Transfer Is Processing and Will Bedukt” e-mail-átverés, amely gyanútlan áldozatokat zsákmányol azáltal, hogy törvényes...

Legnézettebb

Betöltés...