Malware PicassoLoader
Gli esperti di Infosec hanno identificato una serie di campagne di attacco informatico contro obiettivi in Ucraina e Polonia. I criminali informatici si concentrano sulla compromissione di enti governativi, organizzazioni militari e utenti civili. Queste campagne mirano a ottenere illecitamente dati sensibili e stabilire un accesso remoto continuo ai sistemi compromessi.
Coprendo un periodo da aprile 2022 a luglio 2023, questa campagna di intrusione utilizza varie tattiche. Esche di phishing e documenti esca vengono utilizzati per ingannare le vittime e facilitare la distribuzione di un malware downloader noto come PicassoLoader. Questo software minaccioso funge da gateway per lanciare altri strumenti non sicuri, in particolare Cobalt Strike Beacon e njRAT .
Le esche di phishing sono tecniche ingannevoli utilizzate per indurre le persone a rivelare informazioni sensibili, come nomi utente, password o credenziali dell'account. I documenti esca sono file camuffati progettati per apparire legittimi ma in realtà contengono payload non sicuri. Attirando le vittime a interagire con questi documenti esca, gli aggressori possono eseguire il downloader PicassoLoader sui loro sistemi.
Una volta schierato con successo, PicassoLoader funge da condotto per la fase successiva dell'attacco. Consente l'installazione e l'esecuzione di due ulteriori tipi di malware: Cobalt Strike Beacon e njRAT. Il Cobalt Strike Beacon è un sofisticato strumento di test di penetrazione che consente agli aggressori di ottenere l'accesso non autorizzato e il controllo sui sistemi compromessi. Per quanto riguarda njRAT, si tratta di un trojan di accesso remoto che fornisce agli aggressori un accesso remoto non autorizzato ai sistemi infetti, consentendo loro di svolgere attività dannose senza essere rilevati.
Sommario
Il malware PicassoLoader viene distribuito come parte di una catena di infezioni a più fasi
Gli aggressori dietro PicassoLoader hanno utilizzato una catena di infezione a più stadi per svolgere le loro attività dannose. La fase iniziale prevedeva l'uso di documenti Microsoft Office compromessi, con i formati di file Microsoft Excel e PowerPoint i più comunemente utilizzati. Questi documenti servono come punto di partenza per l'attacco.
Dopo i documenti di Office, un downloader eseguibile e un payload sono nascosti all'interno di un file immagine. Questa tattica è stata probabilmente impiegata per rendere il rilevamento del downloader e del payload più impegnativo per i sistemi di sicurezza. Nascondendosi all'interno di un file immagine, gli aggressori mirano a aggirare le misure di sicurezza e aumentare le possibilità di infiltrazione riuscita.
Alcuni di questi attacchi sono stati attribuiti a un attore di minacce noto come GhostWriter, tracciato anche come UAC-0057 o UNC1151. Si ritiene che le motivazioni e gli obiettivi di GhostWriter siano in linea con gli interessi del governo bielorusso.
Sono stati osservati numerosi attacchi mirati contro l’Ucraina
Vale la pena ricordare che un sottoinsieme di questi attacchi era già stato documentato nell'ultimo anno dal Computer Emergency Response Team (CERT-UA) ucraino. Un esempio degno di nota si è verificato nel luglio 2022, quando sono stati utilizzati documenti PowerPoint carichi di macro per distribuire il malware Agent Tesla . Questo incidente ha evidenziato l'uso di macro come mezzo per distribuire malware e compromettere i sistemi delle vittime.
Le catene di infezione utilizzate in questi attacchi si basano su metodi di ingegneria sociale per convincere le vittime ad abilitare le macro all'interno dei documenti di Office. Una volta abilitate le macro, viene attivata una macro VBA, che porta alla distribuzione della minaccia del downloader DLL PicassoLoader. Questo downloader stabilisce quindi una connessione con un sito controllato dagli aggressori per recuperare il payload della fase successiva, che è incorporato in un file immagine apparentemente legittimo. Il malware finale è nascosto all'interno di questo file immagine.
Queste recenti rivelazioni del CERT-UA coincidono con la loro segnalazione su diverse operazioni di phishing che distribuiscono il malware SmokeLoader. Inoltre, è stato identificato un attacco smishing, mirato agli utenti di Telegram con l'obiettivo di ottenere il controllo non autorizzato sui loro account.
GhostWriter è solo uno dei gruppi di criminali informatici che prendono di mira l’Ucraina
L'Ucraina è diventata un obiettivo per molteplici attori di minacce, tra cui il famigerato gruppo di stato-nazione russo APT28 . È stato osservato che APT28 impiega una tattica di invio di e-mail di phishing con allegati HTML, inducendo i destinatari a credere che ci siano attività sospette nei loro siti UKR.NET e Yahoo! conti. Le e-mail richiedono agli utenti di modificare le proprie password, ma invece li portano a pagine di destinazione false progettate per raccogliere le proprie credenziali di accesso.
Questo recente sviluppo fa parte di un modello più ampio osservato nelle attività degli hacker associati all'intelligence militare russa (GRU). Hanno adottato un "playbook standard in cinque fasi" nelle loro operazioni dirompenti contro l'Ucraina, dimostrando uno sforzo deliberato per aumentare la velocità, la portata e l'intensità dei loro attacchi.
