Impianto PowerModul
L'autore della minaccia noto come Paper Werewolf, noto anche come GOFFEE, ha preso di mira esclusivamente organizzazioni russe utilizzando un nuovo impianto chiamato PowerModul. Tra luglio e dicembre 2024, i suoi attacchi si sono concentrati su settori chiave, tra cui mass media, telecomunicazioni, edilizia, enti governativi e settore energetico.
Sommario
Un avversario persistente: campagne dal 2022
Dal 2022, il Paper Werewolf ha condotto almeno sette campagne. Il gruppo si è sempre concentrato su obiettivi di alto valore nei settori governativo, energetico, finanziario e dei media.
Più che spionaggio: colpi di scena distruttivi nelle catene di attacco
Le operazioni di Paper Werewolf vanno oltre il tradizionale spionaggio informatico. È stato osservato che le loro catene di attacco incorporano componenti dirompenti, come la modifica delle password degli account dei dipendenti, a indicare l'intento di paralizzare le operazioni e non solo di rubare dati.
Punto di ingresso: esche di phishing e PowerRAT
Gli attacchi iniziano in genere con email di phishing contenenti documenti contenenti macro. Una volta che la vittima accede al file e abilita le macro, viene distribuito un trojan di accesso remoto basato su PowerShell, noto come PowerRAT . Questo malware prepara il terreno per payload più avanzati.
Arsenale di malware personalizzato: PowerTaskel, QwakMyAgent e Owowa
I payload di fase successiva includono spesso PowerTaskel e QwakMyAgent, versioni personalizzate di agenti basati sul framework Mythic. Un altro strumento, Owowa, un modulo IIS dannoso, viene utilizzato per rubare le credenziali di Microsoft Outlook inserite tramite client web.
Nuova tattica di infezione: eseguibili mascherati negli archivi RAR
L'ultima ondata di attacchi presenta un archivio RAR dannoso contenente un file eseguibile camuffato da documento PDF o Word con doppia estensione (ad esempio, *.pdf.exe). All'esecuzione, viene mostrato all'utente un documento escamotage, mentre il sistema viene infettato silenziosamente in background.
L'eseguibile è in realtà un file di sistema di Windows patchato (come explorer.exe), contenente uno shellcode dannoso contenente un agente Mythic offuscato, che si connette al server C2 per ulteriori istruzioni.
Percorso di attacco alternativo: PowerModul al centro della scena
In un metodo alternativo, Paper Werewolf utilizza un archivio RAR con un documento Office con macro che funge da dropper per PowerModul. Questo script di PowerShell può eseguire script aggiuntivi dal server C2, rendendolo una backdoor versatile.
Payload Parade: un kit di strumenti per lo spionaggio e l’infezione
PowerModul è in uso dall'inizio del 2024, principalmente per scaricare ed eseguire PowerTaskel. Altri payload degni di nota includono:
- FlashFileGrabber : ruba i file dalle unità flash e li esfiltra.
- FlashFileGrabberOffline : cerca file con estensioni specifiche su supporti flash e li memorizza localmente per una successiva estrazione.
- USB Worm : infetta le unità flash con una copia di PowerModul per diffondere ulteriormente il malware.
Le capacità di PowerTaskel: più della semplice esecuzione di script
Sebbene simile a PowerModul, PowerTaskel è più potente. Invia un messaggio di "checkin" con informazioni di sistema, esegue comandi dal server C2 e può aumentare i privilegi tramite PsExec. In un caso, è stato visto eseguire uno script FolderFileGrabber che raccoglie file da sistemi remoti utilizzando percorsi di rete SMB hardcoded.
Evoluzione nelle tattiche: allontanamento dal PowerTaskel
Per la prima volta, Paper Werewolf ha utilizzato documenti Word fraudolenti con script VBA per l'accesso iniziale. Recenti scoperte indicano anche un cambiamento tattico, con il gruppo che si sta allontanando da PowerTaskel e si affida sempre più ad agenti Mythic binari per i movimenti laterali all'interno delle reti prese di mira.
Considerazioni finali: una minaccia crescente con tecniche in evoluzione
Paper Werewolf continua a perfezionare le sue tecniche e ad ampliare il suo arsenale. L'attenzione esclusiva rivolta alle entità russe, unita alle sue capacità dirompenti e a una strategia di infezione in continua evoluzione, lo rende una minaccia informatica seria e persistente all'orizzonte.
