PowerModul implantat
Trusselaktøren kjent som Paper Werewolf – også referert til som GOFFEE – har utelukkende rettet seg mot russiske organisasjoner som bruker et nytt implantat kalt PowerModul. Mellom juli og desember 2024 nådde angrepene deres inn mot nøkkelnæringer, inkludert massemedier, telekommunikasjon, bygg, offentlige enheter og energisektoren.
Innholdsfortegnelse
En vedvarende motstander: Kampanjer siden 2022
Paper Werewolf har gjennomført minst syv kampanjer siden 2022. Konsernets konsekvente fokus har vært på verdifulle mål innenfor regjeringen, energi-, finans- og mediesektoren.
Mer enn spionasje: Destruktive vendinger i angrepskjeder
Paper Werewolfs operasjoner går utover tradisjonell cyberspionasje. Angrepskjedene deres har blitt observert som inneholder forstyrrende komponenter, som å endre passord for ansattes kontoer, som indikerer en hensikt om å lamme operasjoner og ikke bare stjele data.
Inngangspunkt: Phishing lokker og PowerRAT
Angrepene begynner vanligvis med phishing-e-poster som inneholder makro-baserte dokumenter. Når offeret får tilgang til filen og aktiverer makroer, distribueres en PowerShell-basert fjerntilgangstrojaner kjent som PowerRAT . Denne skadelige programvaren setter scenen for mer avanserte nyttelaster.
Custom Malware Arsenal: PowerTaskel, QwakMyAgent og Owowa
Nyttelastene i neste trinn inkluderer ofte PowerTaskel og QwakMyAgent, tilpassede versjoner av agenter basert på Mythic-rammeverket. Et annet verktøy, Owowa, en ondsinnet IIS-modul, brukes til å stjele Microsoft Outlook-legitimasjon som er lagt inn via nettklienter.
Ny infeksjonstaktikk: Forkledde kjørbare filer i RAR-arkiver
Den siste bølgen av angrep inneholder et ondsinnet RAR-arkiv som inneholder en kjørbar fil forkledd som et PDF- eller Word-dokument med doble utvidelser (f.eks. *.pdf.exe). Ved utførelse vises et lokkedokument til brukeren mens systemet er infisert i bakgrunnen.
Den kjørbare filen er faktisk en lappet Windows-systemfil (som explorer.exe), innebygd med ondsinnet skallkode som inneholder en skjult Mythic-agent, som kobles til C2-serveren for ytterligere instruksjoner.
Alternativ angrepsrute: PowerModul inntar sentrum
I en alternativ metode bruker Paper Werewolf et RAR-arkiv med et makro-snøret Office-dokument som fungerer som en dropper for PowerModul. Dette PowerShell-skriptet kan kjøre flere skript fra C2-serveren, noe som gjør det til en allsidig bakdør.
Payload Parade: Et verktøysett for spionasje og infeksjon
PowerModul har vært i bruk siden tidlig i 2024, først og fremst for å laste ned og kjøre PowerTaskel. Andre bemerkelsesverdige nyttelaster inkluderer:
- FlashFileGrabber : Stjeler filer fra flash-stasjoner og eksfiltrerer dem.
- FlashFileGrabberOffline : Søker etter filer med spesifikke utvidelser på flash media og lagrer dem lokalt for senere eksfiltrering.
- USB Worm : Infiserer flash-stasjoner med en kopi av PowerModul for å spre skadelig programvare videre.
PowerTaskels evner: Mer enn bare skriptutførelse
Mens det ligner på PowerModul, er PowerTaskel mer kapabel. Den sender en "sjekking"-melding med systeminformasjon, kjører kommandoer fra C2-serveren og kan eskalere privilegier ved å bruke PsExec. I ett tilfelle ble det sett å kjøre et FolderFileGrabber-skript som samler filer fra eksterne systemer ved å bruke hardkodede SMB-nettverksbaner.
Evolution in Tactics: Shifting Away from PowerTaskel
For første gang har Paper Werewolf brukt uredelige Word-dokumenter med VBA-skript for førstegangstilgang. Nylige funn indikerer også et taktisk skifte, der gruppen beveger seg bort fra PowerTaskel og i økende grad stoler på binære Mythic-agenter for sideveis bevegelse innenfor målrettede nettverk.
Siste tanker: En voksende trussel med utviklende teknikker
Paper Werewolf fortsetter å foredle sine teknikker og utvide sitt arsenal. Det eksklusive fokuset på russiske enheter, kombinert med forstyrrende evner og en utviklende infeksjonsstrategi, gjør det til en alvorlig og vedvarende cybertrussel i horisonten.
