PowerModul implants
Draudu aktieris, kas pazīstams kā papīra vilkacis (saukts arī par GOFFEE), ir mērķējis tikai uz Krievijas organizācijām, izmantojot jaunu implantu ar nosaukumu PowerModul. No 2024. gada jūlija līdz decembrim viņu uzbrukumi bija vērsti pret galvenajām nozarēm, tostarp plašsaziņas līdzekļiem, telekomunikācijām, būvniecību, valsts iestādēm un enerģētikas nozari.
Satura rādītājs
Pastāvīgs pretinieks: kampaņas kopš 2022. gada
Papīra vilkacis kopš 2022. gada ir īstenojis vismaz septiņas kampaņas. Grupa konsekventi koncentrējusies uz augstvērtīgiem mērķiem valdības, enerģētikas, finanšu un mediju sektorā.
Vairāk nekā spiegošana: destruktīvi pagriezieni uzbrukuma ķēdēs
Paper Werewolf darbības pārsniedz tradicionālo kiberspiegošanu. Ir novērots, ka viņu uzbrukuma ķēdēs ir ietverti traucējoši komponenti, piemēram, darbinieku kontu paroļu maiņa, kas norāda uz nolūku sabojāt darbības, nevis tikai nozagt datus.
Ieejas punkts: pikšķerēšanas lures un PowerRAT
Uzbrukumi parasti sākas ar pikšķerēšanas e-pastiem, kas satur makrosavienojumus. Kad upuris piekļūst failam un iespējo makro, tiek izvietots uz PowerShell balstīts attālās piekļuves Trojas zirgs, kas pazīstams kā PowerRAT . Šī ļaunprogrammatūra rada pamatu progresīvākām kravām.
Pielāgots ļaunprātīgas programmatūras arsenāls: PowerTaskel, QwakMyAgent un Owowa
Nākamā posma lietderīgās slodzes bieži ietver PowerTaskel un QwakMyAgent — aģentu pielāgotas versijas, kuru pamatā ir Mythic ietvars. Vēl viens rīks Owowa, ļaunprātīgs IIS modulis, tiek izmantots, lai nozagtu Microsoft Outlook akreditācijas datus, kas ievadīti, izmantojot tīmekļa klientus.
Jauna inficēšanās taktika: slēpti izpildītāji RAR arhīvos
Jaunākais uzbrukumu vilnis ietver ļaunprātīgu RAR arhīvu, kas satur izpildāmo failu, kas slēpts kā PDF vai Word dokuments, izmantojot dubultus paplašinājumus (piemēram, *.pdf.exe). Pēc izpildes lietotājam tiek parādīts mānekļu dokuments, kamēr sistēma fonā tiek klusi inficēta.
Izpildāmais fails faktiski ir labots Windows sistēmas fails (piemēram, explorer.exe), kas ir iegults ar ļaunprātīgu čaulas kodu, kas satur apslēptu Mythic aģentu, kas savienojas ar C2 serveri, lai saņemtu papildu norādījumus.
Alternatīvs uzbrukuma maršruts: PowerModul ieņem centrālo posmu
Kā alternatīvu metodi Paper Werewolf izmanto RAR arhīvu ar makrosavienojumu Office dokumentu, kas darbojas kā PowerModul pilinātājs. Šis PowerShell skripts var izpildīt papildu skriptus no C2 servera, padarot to par daudzpusīgu aizmugures durvīm.
Kravas parāde: spiegošanas un infekcijas rīku komplekts
PowerModul tiek izmantots kopš 2024. gada sākuma, galvenokārt, lai lejupielādētu un palaistu PowerTaskel. Citas ievērojamas kravnesības ietver:
- FlashFileGrabber : nozog failus no zibatmiņas diskiem un izfiltrē tos.
- FlashFileGrabberOffline : meklē failus ar noteiktiem paplašinājumiem Flash datu nesējā un saglabā tos lokāli vēlākai izfiltrēšanai.
- USB tārps : inficē zibatmiņas diskus ar PowerModul kopiju, lai tālāk izplatītu ļaunprātīgu programmatūru.
PowerTaskel iespējas: vairāk nekā tikai skripta izpilde
Lai gan PowerTaskel ir līdzīgs PowerModul, tas ir spējīgāks. Tas nosūta "reģistrācijas" ziņojumu ar sistēmas informāciju, izpilda komandas no C2 servera un var palielināt privilēģijas, izmantojot PsExec. Vienā gadījumā tika novērots, ka tiek izpildīts FolderFileGrabber skripts, kas apkopo failus no attālām sistēmām, izmantojot cieto kodētu SMB tīkla ceļus.
Taktikas evolūcija: pāreja no PowerTaskel
Pirmo reizi Paper Werewolf ir izmantojis krāpnieciskus Word dokumentus ar VBA skriptiem sākotnējai piekļuvei. Jaunākie atklājumi liecina arī par taktiskām izmaiņām, grupai attālinoties no PowerTaskel un arvien vairāk paļaujoties uz binārajiem mītiskajiem aģentiem sānu kustībai mērķa tīklos.
Pēdējās domas: pieaugošs drauds ar attīstošām metodēm
Paper Werewolf turpina pilnveidot savus paņēmienus un paplašināt savu arsenālu. Ekskluzīvā koncentrēšanās uz Krievijas vienībām apvienojumā ar graujošām iespējām un attīstošu infekcijas stratēģiju padara to par nopietnu un pastāvīgu kiberdraudu.
