Implan PowerModul
Pelakon ancaman yang dikenali sebagai Paper Werewolf—juga dirujuk sebagai GOFFEE—telah menyasarkan organisasi Rusia secara eksklusif menggunakan implan baharu yang dipanggil PowerModul. Antara Julai dan Disember 2024, serangan mereka tertumpu pada industri utama, termasuk media massa, telekomunikasi, pembinaan, entiti kerajaan dan sektor tenaga.
Isi kandungan
Musuh Berterusan: Kempen Sejak 2022
Paper Werewolf telah menjalankan sekurang-kurangnya tujuh kempen sejak 2022. Tumpuan konsisten kumpulan itu adalah pada sasaran bernilai tinggi dalam sektor kerajaan, tenaga, kewangan dan media.
Lebih daripada Pengintipan: Pusingan Memusnahkan dalam Rantaian Serangan
Operasi Paper Werewolf melangkaui pengintipan siber tradisional. Rantaian serangan mereka telah diperhatikan menggabungkan komponen yang mengganggu, seperti menukar kata laluan akaun pekerja, menunjukkan niat untuk melumpuhkan operasi dan bukan hanya mencuri data.
Titik Kemasukan: Gewang Phishing dan PowerRAT
Serangan biasanya bermula dengan e-mel pancingan data yang mengandungi dokumen makro. Sebaik sahaja mangsa mengakses fail dan mendayakan makro, Trojan capaian jauh berasaskan PowerShell yang dikenali sebagai PowerRAT digunakan. Malware ini menetapkan peringkat untuk muatan yang lebih maju.
Arsenal Peribadi Tersuai: PowerTaskel, QwakMyAgent dan Owowa
Muatan peringkat seterusnya selalunya termasuk PowerTaskel dan QwakMyAgent, versi tersuai ejen berdasarkan rangka kerja Mythic. Alat lain, Owowa, modul IIS yang berniat jahat, digunakan untuk mencuri bukti kelayakan Microsoft Outlook yang dimasukkan melalui klien web.
Taktik Jangkitan Baharu: Eksekusi Menyamar dalam Arkib RAR
Gelombang serangan terkini menampilkan arkib RAR berniat jahat yang mengandungi dokumen boleh laku yang menyamar sebagai dokumen PDF atau Word menggunakan sambungan berganda (cth, *.pdf.exe). Selepas pelaksanaan, dokumen umpan ditunjukkan kepada pengguna semasa sistem dijangkiti secara senyap di latar belakang.
Boleh laku sebenarnya ialah fail sistem Windows yang ditampal (seperti explorer.exe), dibenamkan dengan kod shell berniat jahat yang mengandungi ejen Mythic yang dikelirukan, yang bersambung ke pelayan C2 untuk arahan selanjutnya.
Laluan Serangan Ganti: PowerModul Mengambil Tahap Tengah
Dalam kaedah alternatif, Paper Werewolf menggunakan arkib RAR dengan dokumen Office bertali makro yang bertindak sebagai penitis untuk PowerModul. Skrip PowerShell ini boleh melaksanakan skrip tambahan daripada pelayan C2, menjadikannya pintu belakang yang serba boleh.
Perbarisan Muatan: Kit Alat untuk Pengintipan dan Jangkitan
PowerModul telah digunakan sejak awal 2024, terutamanya untuk memuat turun dan menjalankan PowerTaskel. Muatan ketara lain termasuk:
- FlashFileGrabber : Mencuri fail daripada pemacu kilat dan mengeluarkannya.
- FlashFileGrabberOffline : Mencari fail dengan sambungan khusus pada media flash dan menyimpannya secara setempat untuk exfiltration kemudian.
- USB Worm : Menjangkiti pemacu denyar dengan salinan PowerModul untuk menyebarkan perisian hasad lebih jauh.
Keupayaan PowerTaskel: Lebih daripada Sekadar Pelaksanaan Skrip
Walaupun serupa dengan PowerModul, PowerTaskel lebih berkebolehan. Ia menghantar mesej 'checkin' dengan maklumat sistem, menjalankan arahan daripada pelayan C2, dan boleh meningkatkan keistimewaan menggunakan PsExec. Dalam satu kes, ia dilihat melaksanakan skrip FolderFileGrabber yang mengumpul fail daripada sistem jauh menggunakan laluan rangkaian SMB berkod keras.
Evolusi dalam Taktik: Beralih Daripada PowerTaskel
Buat pertama kalinya, Paper Werewolf telah menggunakan dokumen Word palsu dengan skrip VBA untuk akses awal. Penemuan terbaru juga menunjukkan anjakan taktikal, dengan kumpulan itu beralih daripada PowerTaskel dan semakin bergantung pada agen Mythic binari untuk pergerakan sisi dalam rangkaian yang disasarkan.
Fikiran Akhir: Ancaman yang Berkembang dengan Teknik Berkembang
Paper Werewolf terus memperhalusi tekniknya dan mengembangkan senjatanya. Tumpuan eksklusif pada entiti Rusia, digabungkan dengan keupayaan mengganggu dan strategi jangkitan yang berkembang, menjadikannya ancaman siber yang serius dan berterusan di kaki langit.
