Perisian Hasad PicassoLoader
Pakar Infosec telah mengenal pasti beberapa siri kempen serangan siber terhadap sasaran di Ukraine dan Poland. Penjenayah siber memberi tumpuan kepada menjejaskan entiti kerajaan, organisasi tentera dan pengguna awam. Kempen ini bertujuan untuk mendapatkan data sensitif secara haram dan mewujudkan akses jauh berterusan kepada sistem yang terjejas.
Menjangkau tempoh dari April 2022 hingga Julai 2023, kempen pencerobohan ini menggunakan pelbagai taktik. Gewang pancingan data dan dokumen penipuan digunakan untuk memperdaya mangsa dan memudahkan penggunaan perisian hasad pemuat turun yang dikenali sebagai PicassoLoader. Perisian mengancam ini berfungsi sebagai pintu masuk untuk melancarkan alat lain yang tidak selamat, khususnya Cobalt Strike Beacon dan njRAT .
Gewang pancingan data ialah teknik memperdaya yang digunakan untuk memperdaya individu supaya mendedahkan maklumat sensitif, seperti nama pengguna, kata laluan atau bukti kelayakan akaun. Dokumen decoy ialah fail menyamar yang direka bentuk untuk kelihatan sah tetapi sebenarnya mengandungi muatan yang tidak selamat. Dengan menarik mangsa untuk berinteraksi dengan dokumen penipuan ini, penyerang boleh melaksanakan pemuat turun PicassoLoader ke sistem mereka.
Sebaik sahaja PicassoLoader berjaya digunakan, ia berfungsi sebagai saluran untuk peringkat seterusnya serangan. Ia membolehkan pemasangan dan pelaksanaan dua jenis perisian hasad tambahan: Cobalt Strike Beacon dan njRAT. Cobalt Strike Beacon ialah alat ujian penembusan yang canggih yang membolehkan penyerang mendapat akses dan kawalan tanpa kebenaran ke atas sistem yang terjejas. Bagi njRAT, ia adalah trojan akses jauh yang menyediakan penyerang akses jauh yang tidak dibenarkan kepada sistem yang dijangkiti, membolehkan mereka menjalankan aktiviti berniat jahat tanpa dikesan.
Isi kandungan
Perisian Hasad PicassoLoader Digunakan sebagai Sebahagian daripada Rantaian Jangkitan Berbilang Peringkat
Penyerang di belakang PicassoLoader menggunakan rantaian jangkitan berbilang peringkat untuk menjalankan aktiviti berbahaya mereka. Peringkat awal melibatkan penggunaan dokumen Microsoft Office yang terjejas, dengan format fail Microsoft Excel dan PowerPoint adalah yang paling biasa digunakan. Dokumen ini berfungsi sebagai titik permulaan untuk serangan.
Mengikuti dokumen Office, muat turun boleh laku dan muatan disembunyikan dalam fail imej. Taktik ini mungkin digunakan untuk menjadikan pengesanan pemuat turun dan muatan lebih mencabar untuk sistem keselamatan. Dengan bersembunyi dalam fail imej, penyerang menyasarkan untuk memintas langkah keselamatan dan meningkatkan peluang penyusupan yang berjaya.
Sebahagian daripada serangan ini telah dikaitkan dengan pelakon ancaman yang dikenali sebagai GhostWriter, juga dijejaki sebagai UAC-0057 atau UNC1151. Motivasi dan objektif GhostWriter dipercayai sejajar dengan kepentingan kerajaan Belarusia.
Banyak Serangan Sasaran terhadap Ukraine Telah Diperhatikan
Perlu dinyatakan bahawa subset serangan ini telah didokumenkan sepanjang tahun lalu oleh Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA). Satu contoh ketara berlaku pada Julai 2022, di mana dokumen PowerPoint sarat makro digunakan untuk menghantar perisian hasad Ejen Tesla . Insiden ini menyerlahkan penggunaan makro sebagai cara untuk mengedarkan perisian hasad dan menjejaskan sistem mangsa.
Rantaian jangkitan yang digunakan dalam serangan ini bergantung pada kaedah kejuruteraan sosial untuk meyakinkan mangsa untuk membolehkan makro dalam dokumen Office. Setelah makro didayakan, makro VBA dicetuskan, yang membawa kepada penggunaan ancaman pemuat turun DLL PicassoLoader. Pemuat turun ini kemudiannya mewujudkan sambungan dengan tapak yang dikawal oleh penyerang untuk mendapatkan semula muatan peringkat seterusnya, yang dibenamkan dalam fail imej yang kelihatan sah. Malware terakhir disembunyikan dalam fail imej ini.
Pendedahan terbaru oleh CERT-UA ini bertepatan dengan laporan mereka tentang beberapa operasi pancingan data yang mengedarkan perisian hasad SmokeLoader. Selain itu, serangan hebat telah dikenal pasti, menyasarkan pengguna Telegram dengan objektif untuk mendapatkan kawalan tanpa kebenaran ke atas akaun mereka.
GhostWriter hanyalah Satu daripada Kumpulan Jenayah Siber yang Menyasarkan Ukraine
Ukraine telah menjadi sasaran pelbagai pelaku ancaman, termasuk kumpulan negara bangsa Rusia yang terkenal APT28 . APT28 telah diperhatikan menggunakan taktik menghantar e-mel pancingan data dengan lampiran HTML, memperdaya penerima supaya mempercayai terdapat aktiviti yang mencurigakan dalam UKR.NET dan Yahoo! akaun. E-mel menggesa pengguna untuk menukar kata laluan mereka tetapi sebaliknya, membawa mereka ke halaman pendaratan palsu yang direka untuk mengumpul bukti kelayakan log masuk mereka.
Perkembangan terbaru ini adalah sebahagian daripada corak yang lebih luas yang diperhatikan dalam aktiviti penggodam berkaitan perisikan tentera Rusia (GRU). Mereka telah menggunakan 'buku permainan lima fasa standard' dalam operasi mengganggu mereka terhadap Ukraine, menunjukkan usaha yang disengajakan untuk meningkatkan kelajuan, skala dan intensiti serangan mereka.
