PicassoLoader ļaunprātīga programmatūra
Infosec eksperti ir identificējuši vairākas kiberuzbrukumu kampaņas pret mērķiem Ukrainā un Polijā. Kibernoziedznieki ir vērsti uz valdības struktūru, militāro organizāciju un civilo lietotāju kompromitēšanu. Šo kampaņu mērķis ir nelikumīgi iegūt sensitīvus datus un nodrošināt pastāvīgu attālo piekļuvi apdraudētajām sistēmām.
Šajā ielaušanās kampaņā, kas aptver laika posmu no 2022. gada aprīļa līdz 2023. gada jūlijam, tiek izmantotas dažādas taktikas. Pikšķerēšanas vilinājumi un mānekļu dokumenti tiek izmantoti, lai maldinātu upurus un atvieglotu lejupielādes ļaunprātīgas programmatūras, kas pazīstama kā PicassoLoader, izvietošanu. Šī draudīgā programmatūra kalpo kā vārteja, lai palaistu citus nedrošus rīkus, īpaši Cobalt Strike Beacon un njRAT .
Pikšķerēšanas vilinājumi ir maldinoši paņēmieni, ko izmanto, lai pieviltu personas atklāt sensitīvu informāciju, piemēram, lietotājvārdus, paroles vai konta akreditācijas datus. Māneklīgie dokumenti ir slēpti faili, kas paredzēti, lai izskatītos likumīgi, bet patiesībā satur nedrošas kravas. Mudinot upurus mijiedarboties ar šiem mānekļu dokumentiem, uzbrucēji savās sistēmās var palaist PicassoLoader lejupielādētāju.
Kad PicassoLoader ir veiksmīgi izvietots, tas kalpo kā kanāls nākamajam uzbrukuma posmam. Tas nodrošina divu papildu veidu ļaunprātīgas programmatūras instalēšanu un izpildi: Cobalt Strike Beacon un njRAT. Cobalt Strike Beacon ir izsmalcināts iespiešanās pārbaudes rīks, kas ļauj uzbrucējiem iegūt nesankcionētu piekļuvi un kontrolēt apdraudētās sistēmas. Kas attiecas uz njRAT, tas ir attālās piekļuves Trojas zirgs, kas nodrošina uzbrucējiem nesankcionētu attālo piekļuvi inficētajām sistēmām, ļaujot viņiem neatklāti veikt ļaunprātīgas darbības.
Satura rādītājs
PicassoLoader ļaunprogrammatūra ir izvietota kā daļa no daudzpakāpju infekcijas ķēdes
Uzbrucēji aiz PicassoLoader izmantoja daudzpakāpju infekcijas ķēdi, lai veiktu savas kaitīgās darbības. Sākotnējā posmā tika izmantoti apdraudēti Microsoft Office dokumenti, un visbiežāk tika izmantoti Microsoft Excel un PowerPoint failu formāti. Šie dokumenti kalpo par sākumpunktu uzbrukumam.
Pēc Office dokumentiem attēla failā ir paslēpts izpildāmais lejupielādētājs un lietderīgā slodze. Šī taktika, visticamāk, tika izmantota, lai drošības sistēmām padarītu lejupielādētāja un kravas noteikšanu grūtāku. Slēpjoties attēla failā, uzbrucēju mērķis ir apiet drošības pasākumus un palielināt veiksmīgas infiltrācijas iespējas.
Daži no šiem uzbrukumiem ir attiecināti uz draudu izpildītāju, kas pazīstams kā GhostWriter, kas izsekots arī kā UAC-0057 vai UNC1151. Tiek uzskatīts, ka GhostWriter motivācija un mērķi atbilst Baltkrievijas valdības interesēm.
Ir novēroti daudzi mērķtiecīgi uzbrukumi Ukrainai
Ir vērts pieminēt, ka Ukrainas Datoru avārijas reaģēšanas komanda (CERT-UA) pagājušajā gadā jau bija dokumentējusi šo uzbrukumu apakškopu. Viens vērā ņemams piemērs notika 2022. gada jūlijā, kad Agent Tesla ļaunprātīgās programmatūras piegādei tika izmantoti PowerPoint dokumenti ar makro. Šis incidents uzsvēra makro izmantošanu kā līdzekli ļaunprātīgas programmatūras izplatīšanai un upuru sistēmu kompromitēšanai.
Šajos uzbrukumos izmantotās infekcijas ķēdes balstās uz sociālās inženierijas metodēm, lai pārliecinātu upurus Office dokumentos iespējot makro. Kad makro ir iespējoti, tiek aktivizēts VBA makro, kas noved pie PicassoLoader DLL lejupielādētāja draudu izvietošanas. Pēc tam šis lejupielādētājs izveido savienojumu ar vietni, kuru kontrolē uzbrucēji, lai izgūtu nākamā posma lietderīgo slodzi, kas ir iegulta šķietami likumīgā attēla failā. Pēdējā ļaunprogrammatūra ir paslēpta šajā attēla failā.
Šī nesenā CERT-UA atklātā informācija sakrīt ar ziņojumiem par vairākām pikšķerēšanas darbībām, kas izplata SmokeLoader ļaunprātīgu programmatūru. Turklāt tika konstatēts smags uzbrukums, kura mērķis bija Telegram lietotāji ar mērķi iegūt nesankcionētu kontroli pār viņu kontiem.
GhostWriter ir tikai viena no kibernoziedzības grupām, kuru mērķis ir Ukraina
Ukraina ir kļuvusi par mērķi vairākiem apdraudējumiem, tostarp bēdīgi slavenajai Krievijas nacionālo valstu grupai APT28 . Ir novērots, ka APT28 izmanto pikšķerēšanas e-pasta ziņojumu sūtīšanas taktiku ar HTML pielikumiem, liekot adresātiem noticēt, ka viņu UKR.NET un Yahoo! kontiem. E-pasta ziņojumi aicina lietotājus mainīt paroles, bet tā vietā novirza viņus uz viltotām galvenajām lapām, kas paredzētas viņu pieteikšanās akreditācijas datu apkopošanai.
Šī nesenā attīstība ir daļa no plašāka modeļa, kas novērots ar Krievijas militāro izlūkdienestu (GRU) saistīto hakeru darbībā. Viņi savās graujošajās operācijās pret Ukrainu ir pieņēmuši "standarta piecu fāzu rokasgrāmatu", demonstrējot apzinātus centienus palielināt savu uzbrukumu ātrumu, mērogu un intensitāti.
