PowerModul implantas
Grėsmių veikėjas, žinomas kaip Paper Werewolf, taip pat vadinamas GOFFEE, buvo išskirtinai nusitaikęs į Rusijos organizacijas, naudodamas naują implantą, vadinamą PowerModul. 2024 m. liepos–gruodžio mėn. jų išpuoliai buvo nukreipti prieš pagrindines pramonės šakas, įskaitant žiniasklaidą, telekomunikacijas, statybas, valdžios institucijas ir energetikos sektorių.
Turinys
Nuolatinis priešininkas: kampanijos nuo 2022 m
„The Paper Werewolf“ nuo 2022 m. vykdė mažiausiai septynias kampanijas. Grupė nuolat sutelkė dėmesį į didelės vertės tikslus vyriausybės, energetikos, finansų ir žiniasklaidos sektoriuose.
Daugiau nei šnipinėjimas: destruktyvūs puolimo grandinių posūkiai
„Paper Werewolf“ veikla peržengia tradicinį kibernetinį šnipinėjimą. Pastebėta, kad jų atakų grandinės apima trikdančius komponentus, tokius kaip darbuotojų paskyrų slaptažodžių keitimas, rodantis ketinimą sugadinti operacijas, o ne tik pavogti duomenis.
Įėjimo taškas: sukčiavimo masalai ir PowerRAT
Atakos paprastai prasideda nuo sukčiavimo el. laiškų, kuriuose yra makrokomandų surištų dokumentų. Kai auka pasiekia failą ir įjungia makrokomandas, įdiegiamas „PowerShell“ pagrindu veikiantis nuotolinės prieigos Trojos arklys, žinomas kaip „PowerRAT“ . Ši kenkėjiška programa sudaro sąlygas sudėtingesnėms naudingosioms apkrovoms.
Pasirinktinis kenkėjiškų programų arsenalas: „PowerTaskel“, „QwakMyAgent“ ir „Owowa“.
Kitos pakopos naudingosios apkrovos dažnai apima „PowerTaskel“ ir „QwakMyAgent“, pasirinktines agentų versijas, pagrįstas „Mythic“ sistema. Kitas įrankis, kenkėjiškas IIS modulis „Owowa“, naudojamas „Microsoft Outlook“ kredencialams, įvestiems per žiniatinklio klientus, pavogti.
Nauja užsikrėtimo taktika: užmaskuoti vykdomieji asmenys RAR archyvuose
Naujausioje atakų bangoje yra kenkėjiškas RAR archyvas, kuriame yra vykdomasis failas, užmaskuotas kaip PDF arba Word dokumentas, naudojant dvigubus plėtinius (pvz., *.pdf.exe). Vykdymo metu vartotojui rodomas apgaulės dokumentas, o sistema tyliai užkrėsta fone.
Vykdomasis failas iš tikrųjų yra pataisytas „Windows“ sistemos failas (pvz., explorer.exe), įterptas su kenkėjišku apvalkalo kodu, kuriame yra užmaskuotas „Mythic“ agentas, kuris prisijungia prie C2 serverio, kad gautų tolesnius nurodymus.
Alternatyvus puolimo maršrutas: „PowerModul“ užima centrinę stadiją
Alternatyviu metodu „Paper Werewolf“ naudoja RAR archyvą su makrokomandomis pažymėtu „Office“ dokumentu, kuris veikia kaip „PowerModul“ lašintuvas. Šis „PowerShell“ scenarijus gali vykdyti papildomus scenarijus iš C2 serverio, todėl jis yra universalus užpakalinės durys.
Naudingojo krovinio paradas: šnipinėjimo ir infekcijos įrankių rinkinys
„PowerModul“ buvo naudojamas nuo 2024 m. pradžios, pirmiausia norint atsisiųsti ir paleisti „PowerTaskel“. Kiti svarbūs naudingieji kroviniai apima:
- „FlashFileGrabber“ : pavagia failus iš „flash“ diskų ir juos išfiltruoja.
- „FlashFileGrabberOffline“ : „Flash“ laikmenoje ieško failų su konkrečiais plėtiniais ir išsaugo juos vietoje, kad vėliau būtų galima išfiltruoti.
- USB kirminas : užkrečia „flash drives“ „PowerModul“ kopija, kad kenkėjiška programa būtų platinama toliau.
„PowerTaskel“ galimybės: daugiau nei tik scenarijaus vykdymas
Nors „PowerTaskel“ yra panašus į „PowerModul“, jis yra pajėgesnis. Jis siunčia „checkin“ pranešimą su sistemos informacija, vykdo komandas iš C2 serverio ir gali išplėsti privilegijas naudodamas PsExec. Vienu atveju buvo pastebėta, kad vykdomas „FolderFileGrabber“ scenarijus, renkantis failus iš nuotolinių sistemų, naudojant užkoduotus SMB tinklo kelius.
Taktikos evoliucija: perėjimas nuo PowerTaskel
Pirmą kartą „Paper Werewolf“ pradinei prieigai naudojo apgaulingus „Word“ dokumentus su VBA scenarijais. Naujausi atradimai taip pat rodo taktinį poslinkį, kai grupė tolsta nuo PowerTaskel ir vis labiau pasikliauja dvejetainiais mitiniais agentais, kad judėtų į šonus tiksliniuose tinkluose.
Paskutinės mintys: didėjanti grėsmė tobulinant metodus
„Paper Werewolf“ toliau tobulina savo technologijas ir plečia savo arsenalą. Išskirtinis dėmesys Rusijos subjektams kartu su trikdančiomis galimybėmis ir besivystančia infekcijos strategija daro ją rimta ir nuolatine kibernetine grėsme horizonte.
