Malware for PicassoLoader
Infosec-eksperter har identifisert en rekke nettangrepskampanjer mot mål i Ukraina og Polen. Nettkriminelle er fokusert på å kompromittere offentlige enheter, militære organisasjoner og sivile brukere. Disse kampanjene tar sikte på å ulovlig innhente sensitive data og etablere kontinuerlig ekstern tilgang til de kompromitterte systemene.
Denne inntrengningskampanjen strekker seg over en periode fra april 2022 til juli 2023, og bruker ulike taktikker. Phishing-lokker og lokkedokumenter brukes for å lure ofre og lette distribusjonen av en skadelig programvare for nedlasting kjent som PicassoLoader. Denne truende programvaren fungerer som en inngangsport for å lansere andre usikre verktøy, spesielt Cobalt Strike Beacon og njRAT .
Phishing-lokker er villedende teknikker som brukes for å lure enkeltpersoner til å avsløre sensitiv informasjon, for eksempel brukernavn, passord eller kontolegitimasjon. Lokkedokumenter er forkledde filer designet for å virke legitime, men som faktisk inneholder utrygge nyttelaster. Ved å lokke ofre til å samhandle med disse lokkedokumentene, kan angriperne kjøre PicassoLoader-nedlasteren på systemene sine.
Når PicassoLoader er vellykket distribuert, fungerer den som en kanal for neste trinn av angrepet. Den muliggjør installasjon og kjøring av ytterligere to typer skadelig programvare: Cobalt Strike Beacon og njRAT. Cobalt Strike Beacon er et sofistikert penetrasjonstestverktøy som lar angripere få uautorisert tilgang og kontroll over kompromitterte systemer. Når det gjelder njRAT, er det en fjerntilgangstrojaner som gir angriperne uautorisert ekstern tilgang til de infiserte systemene, slik at de kan utføre ondsinnede aktiviteter uoppdaget.
Innholdsfortegnelse
Malware fra PicassoLoader er distribuert som en del av en flertrinns infeksjonskjede
Angriperne bak PicassoLoader brukte en flertrinns infeksjonskjede for å utføre sine skadelige aktiviteter. Den innledende fasen innebar bruk av kompromitterte Microsoft Office-dokumenter, med Microsoft Excel- og PowerPoint-filformater som de mest brukte. Disse dokumentene fungerer som utgangspunktet for angrepet.
Etter Office-dokumentene er en kjørbar nedlaster og nyttelast skjult i en bildefil. Denne taktikken ble sannsynligvis brukt for å gjøre oppdagelsen av nedlasteren og nyttelasten mer utfordrende for sikkerhetssystemer. Ved å gjemme seg i en bildefil har angriperne som mål å omgå sikkerhetstiltak og øke sjansene for vellykket infiltrasjon.
Noen av disse angrepene har blitt tilskrevet en trusselaktør kjent som GhostWriter, også sporet som UAC-0057 eller UNC1151. Motivasjonene og målene til GhostWriter antas å samsvare med interessene til den hviterussiske regjeringen.
Tallrike målrettede angrep mot Ukraina har blitt observert
Det er verdt å nevne at en undergruppe av disse angrepene allerede hadde blitt dokumentert i løpet av det siste året av Ukrainas Computer Emergency Response Team (CERT-UA). Et bemerkelsesverdig eksempel fant sted i juli 2022, hvor makroladede PowerPoint-dokumenter ble brukt for å levere Agent Tesla malware. Denne hendelsen fremhevet bruken av makroer som et middel til å distribuere skadelig programvare og kompromittere ofrenes systemer.
Infeksjonskjedene som brukes i disse angrepene er avhengige av sosiale ingeniørmetoder for å overbevise ofrene om å aktivere makroer i Office-dokumentene. Når makroene er aktivert, utløses en VBA-makro, noe som fører til distribusjon av trusselen for PicassoLoader DLL-nedlasting. Denne nedlasteren oppretter deretter en forbindelse med et nettsted kontrollert av angriperne for å hente nyttelasten i neste trinn, som er innebygd i en tilsynelatende legitim bildefil. Den siste skadelige programvaren er skjult i denne bildefilen.
Disse nylige avsløringene fra CERT-UA faller sammen med deres rapportering om flere phishing-operasjoner som distribuerer SmokeLoader-malware. I tillegg ble et smishing-angrep identifisert, rettet mot Telegram-brukere med det formål å få uautorisert kontroll over kontoene deres.
GhostWriter er bare en av nettkriminalitetsgruppene som retter seg mot Ukraina
Ukraina har blitt et mål for flere trusselaktører, inkludert den beryktede russiske nasjonalstatsgruppen APT28 . APT28 har blitt observert ved å bruke en taktikk for å sende phishing-e-poster med HTML-vedlegg, og lure mottakere til å tro at det er mistenkelig aktivitet i deres UKR.NET og Yahoo! kontoer. E-postene ber brukere om å endre passord, men i stedet fører dem til falske landingssider designet for å samle inn påloggingsinformasjonen deres.
Denne nylige utviklingen er en del av et bredere mønster observert i aktivitetene til russisk militær etterretning (GRU)-tilknyttede hackere. De har tatt i bruk en "standard femfase-spillebok" i sine forstyrrende operasjoner mot Ukraina, og demonstrerer en bevisst innsats for å øke hastigheten, omfanget og intensiteten til angrepene deres.
