„PicassoLoader“ kenkėjiška programa
„Infosec“ ekspertai nustatė daugybę kibernetinių atakų kampanijų prieš taikinius Ukrainoje ir Lenkijoje. Kibernetiniai nusikaltėliai orientuojasi į vyriausybės subjektų, karinių organizacijų ir civilių vartotojų kompromitavimą. Šiomis kampanijomis siekiama neteisėtai gauti neskelbtinų duomenų ir užtikrinti nuolatinę nuotolinę prieigą prie pažeistų sistemų.
Ši įsibrovimo kampanija, apimanti laikotarpį nuo 2022 m. balandžio mėn. iki 2023 m. liepos mėn., apima įvairias taktikas. Sukčiavimo masalai ir viliojimo dokumentai naudojami siekiant apgauti aukas ir palengvinti atsisiuntimo programos, žinomos kaip „PicassoLoader“, įdiegimą. Ši grėsminga programinė įranga yra vartai, leidžiantys paleisti kitus nesaugius įrankius, ypač „Cobalt Strike Beacon“ ir „njRAT“ .
Sukčiavimo masalai yra apgaulingi metodai, naudojami siekiant apgauti asmenis, kad jie atskleistų neskelbtiną informaciją, pvz., naudotojų vardus, slaptažodžius ar paskyros kredencialus. Apgaulės dokumentai yra užmaskuoti failai, sukurti taip, kad atrodytų teisėti, tačiau iš tikrųjų juose yra nesaugių naudingų krovinių. Viliodami aukas bendrauti su šiais apgaulės dokumentais, užpuolikai gali paleisti PicassoLoader atsisiuntimo programą savo sistemose.
Sėkmingai įdiegus „PicassoLoader“, jis naudojamas kaip kanalas kitam atakos etapui. Tai leidžia įdiegti ir vykdyti dviejų papildomų tipų kenkėjiškas programas: Cobalt Strike Beacon ir njRAT. „Cobalt Strike Beacon“ yra sudėtingas įsiskverbimo tikrinimo įrankis, leidžiantis užpuolikams gauti neteisėtą prieigą ir valdyti pažeistas sistemas. Kalbant apie njRAT, tai yra nuotolinės prieigos Trojos arklys, suteikiantis užpuolikams neteisėtą nuotolinę prieigą prie užkrėstų sistemų, leisdamas jiems nepastebimai vykdyti kenkėjišką veiklą.
Turinys
„PicassoLoader“ kenkėjiška programa yra įdiegta kaip daugiapakopės infekcijos grandinės dalis
„PicassoLoader“ užpuolikai naudojo daugiapakopę infekcijos grandinę, kad galėtų vykdyti savo žalingą veiklą. Pradiniame etape buvo naudojami pažeisti Microsoft Office dokumentai, o dažniausiai naudojami Microsoft Excel ir PowerPoint failų formatai. Šie dokumentai yra atakos pradžios taškas.
Po „Office“ dokumentų vykdomasis atsisiuntimo įrankis ir naudingoji apkrova yra paslėpti vaizdo faile. Tikėtina, kad ši taktika buvo panaudota siekiant apsauginėms sistemoms apsunkinti parsisiuntimo programos ir naudingosios apkrovos aptikimą. Pasislėpę vaizdo faile, užpuolikai siekia apeiti saugumo priemones ir padidinti sėkmingo įsiskverbimo tikimybę.
Kai kurios iš šių atakų buvo priskirtos grėsmės veikėjui, žinomam kaip GhostWriter, taip pat sekamam kaip UAC-0057 arba UNC1151. Manoma, kad „GhostWriter“ motyvai ir tikslai atitinka Baltarusijos vyriausybės interesus.
Pastebėta daugybė tikslinių išpuolių prieš Ukrainą
Verta paminėti, kad Ukrainos kompiuterinių avarijų reagavimo komanda (CERT-UA) praėjusiais metais jau užfiksavo šių atakų pogrupį. Vienas žymus pavyzdys įvyko 2022 m. liepos mėn., kai makrokomandomis pakrauti PowerPoint dokumentai buvo naudojami siekiant pristatyti Agent Tesla kenkėjišką programą. Šis incidentas parodė, kad makrokomandos naudojamos kaip priemonė platinti kenkėjiškas programas ir pažeisti aukų sistemas.
Šiose atakose naudojamos infekcijos grandinės remiasi socialinės inžinerijos metodais, siekiant įtikinti aukas įjungti makrokomandas Office dokumentuose. Įjungus makrokomandas, suaktyvinama VBA makrokomanda, dėl kurios atsiranda „PicassoLoader“ DLL atsisiuntimo programos grėsmė. Tada ši parsisiuntimo programa užmezga ryšį su svetaine, kurią kontroliuoja užpuolikai, kad nuskaitytų kito etapo naudingą apkrovą, kuri yra įterpta į iš pažiūros teisėtą vaizdo failą. Galutinė kenkėjiška programa yra paslėpta šiame vaizdo faile.
Šie naujausi CERT-UA atskleidimai sutampa su pranešimais apie keletą sukčiavimo operacijų, platinančių SmokeLoader kenkėjišką programą. Be to, buvo nustatyta žiauri ataka, nukreipta į „Telegram“ vartotojus, siekiant neteisėtai valdyti savo paskyras.
„GhostWriter“ yra tik viena iš kibernetinių nusikaltimų grupių, nukreiptų į Ukrainą
Ukraina tapo daugelio grėsmės veikėjų, įskaitant liūdnai pagarsėjusią Rusijos nacionalinių valstybių grupę APT28, taikiniu. Pastebėta, kad APT28 taiko sukčiavimo el. laiškų siuntimo su HTML priedais taktiką, apgaudinėdama gavėjus, kad jie patikėtų, kad jų UKR.NET ir Yahoo! sąskaitas. El. laiškuose vartotojai raginami pakeisti savo slaptažodžius, bet nukreipiami į netikrus nukreipimo puslapius, skirtus rinkti prisijungimo duomenis.
Ši naujausia raida yra dalis platesnio modelio, stebimo su Rusijos karine žvalgyba (GRU) susijusių įsilaužėlių veikloje. Jie pritaikė „standartinį penkių etapų planą“ savo ardomose operacijose prieš Ukrainą, parodydami sąmoningas pastangas padidinti savo atakų greitį, mastą ir intensyvumą.
