PicassoLoader Malware

इन्फोसेक विशेषज्ञहरूले युक्रेन र पोल्याण्डमा लक्ष्यहरू विरुद्ध साइबर आक्रमण अभियानहरूको श्रृंखला पहिचान गरेका छन्। साइबर अपराधीहरू सरकारी निकायहरू, सैन्य संगठनहरू र नागरिक प्रयोगकर्ताहरूसँग सम्झौता गर्नमा केन्द्रित छन्। यी अभियानहरूले अवैध रूपमा संवेदनशील डाटा प्राप्त गर्न र सम्झौता प्रणालीहरूमा निरन्तर रिमोट पहुँच स्थापना गर्ने लक्ष्य राख्छन्।

अप्रिल 2022 देखि जुलाई 2023 सम्मको अवधिमा फैलिएको यो घुसपैठ अभियानले विभिन्न रणनीतिहरू प्रयोग गर्दछ। पिकासोलोडर भनेर चिनिने डाउनलोडर मालवेयरको प्रयोगलाई सहज बनाउन र पीडितहरूलाई धोका दिनको लागि फिसिङ लुर्स र डिकोय कागजातहरू प्रयोग गरिन्छ। यो धम्की दिने सफ्टवेयरले अन्य असुरक्षित उपकरणहरू, विशेष गरी Cobalt Strike बीकन र njRAT सुरु गर्न गेटवेको रूपमा कार्य गर्दछ।

फिसिङ प्रलोभनहरू प्रयोगकर्ता नाम, पासवर्ड वा खाता प्रमाणहरू जस्ता संवेदनशील जानकारीहरू खुलासा गर्न व्यक्तिहरूलाई छल गर्न प्रयोग गरिने भ्रामक प्रविधिहरू हुन्। Decoy कागजातहरू वैध देखिने तर वास्तवमा असुरक्षित पेलोडहरू समावेश गर्न डिजाइन गरिएका प्रच्छन्न फाइलहरू हुन्। पीडितहरूलाई यी डिको कागजातहरूसँग अन्तर्क्रिया गर्न लोभ्याएर, आक्रमणकारीहरूले पिकासोलोडर डाउनलोडरलाई तिनीहरूको प्रणालीमा कार्यान्वयन गर्न सक्छन्।

एक पटक पिकासोलोडर सफलतापूर्वक तैनात भएपछि, यसले आक्रमणको अर्को चरणको लागि नालीको रूपमा काम गर्दछ। यसले दुई अतिरिक्त प्रकारका मालवेयरको स्थापना र कार्यान्वयन सक्षम गर्दछ: कोबाल्ट स्ट्राइक बीकन र एनजेआरएटी। कोबाल्ट स्ट्राइक बीकन एक परिष्कृत प्रवेश परीक्षण उपकरण हो जसले आक्रमणकारीहरूलाई सम्झौता प्रणालीहरूमा अनधिकृत पहुँच र नियन्त्रण प्राप्त गर्न अनुमति दिन्छ। njRAT को लागि, यो एक रिमोट एक्सेस ट्रोजन हो जसले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूमा अनाधिकृत रिमोट पहुँच प्रदान गर्दछ, तिनीहरूलाई पत्ता नलागेका दुर्भावनापूर्ण गतिविधिहरू सञ्चालन गर्न अनुमति दिन्छ।

PicassoLoader Malware बहु-स्टेज संक्रमण श्रृंखलाको भागको रूपमा तैनात गरिएको छ

पिकासोलोडर पछाडिका आक्रमणकारीहरूले उनीहरूको हानिकारक गतिविधिहरू सञ्चालन गर्न बहु-चरण संक्रमण श्रृंखला प्रयोग गरे। प्रारम्भिक चरणमा माइक्रोसफ्ट एक्सेल र पावरपोइन्ट फाइल ढाँचाहरू प्रायः प्रयोग हुने गरी सम्झौता गरिएको Microsoft Office कागजातहरूको प्रयोग समावेश थियो। यी कागजातहरूले आक्रमणको सुरुवात बिन्दुको रूपमा सेवा गर्छन्।

कार्यालय कागजातहरू पछ्याउँदै, एक कार्यान्वयन योग्य डाउनलोडर र पेलोड छवि फाइल भित्र लुकाइएको छ। यो रणनीति सम्भवतः डाउनलोडरको पत्ता लगाउन र सुरक्षा प्रणालीहरूको लागि पेलोड थप चुनौतीपूर्ण बनाउन प्रयोग गरिएको थियो। छवि फाइल भित्र लुकाएर, आक्रमणकारीहरूले सुरक्षा उपायहरू बाइपास गर्ने र सफल घुसपैठको सम्भावना बढाउने लक्ष्य राख्छन्।

यी आक्रमणहरू मध्ये केहीलाई GhostWriter भनेर चिनिने खतरा अभिनेतालाई श्रेय दिइएको छ, जसलाई UAC-0057 वा UNC1151 पनि भनिन्छ। GhostWriter को प्रेरणा र उद्देश्य बेलारूसी सरकार को चासो संग पङ्क्तिबद्ध मानिन्छ।

युक्रेन विरुद्ध धेरै लक्षित आक्रमणहरू अवलोकन गरिएको छ

यो उल्लेखनीय छ कि यी आक्रमणहरूको एक उपसमूह पहिले नै युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) द्वारा गत वर्षमा दस्तावेज गरिएको थियो। एउटा उल्लेखनीय उदाहरण जुलाई २०२२ मा देखा पर्‍यो, जहाँ Agent Tesla मालवेयर डेलिभर गर्न म्याक्रो-लेडेन पावरपोइन्ट कागजातहरू प्रयोग गरियो। यस घटनाले मालवेयर वितरण गर्ने माध्यमको रूपमा म्याक्रोको प्रयोगलाई हाइलाइट गर्‍यो र पीडितहरूको प्रणालीलाई सम्झौता गर्‍यो।

यी आक्रमणहरूमा प्रयोग गरिएका संक्रमण चेनहरू अफिस कागजातहरूमा म्याक्रोहरू सक्षम गर्न पीडितहरूलाई मनाउन सामाजिक इन्जिनियरिङ विधिहरूमा निर्भर हुन्छन्। एक पटक म्याक्रो सक्षम भएपछि, एक VBA म्याक्रो ट्रिगर हुन्छ, जसले पिकासोलोडर DLL डाउनलोडर खतराको तैनातीमा नेतृत्व गर्दछ। यस डाउनलोडरले त्यसपछि अर्को चरणको पेलोड पुन: प्राप्त गर्न आक्रमणकारीहरूद्वारा नियन्त्रित साइटसँग जडान स्थापित गर्दछ, जुन वैध देखिने छवि फाइल भित्र इम्बेड गरिएको छ। अन्तिम मालवेयर यो छवि फाइल भित्र लुकाइएको छ।

CERT-UA द्वारा हालैका यी खुलासाहरू SmokeLoader मालवेयर वितरण गर्ने धेरै फिसिङ अपरेसनहरूमा उनीहरूको रिपोर्टिङसँग मेल खान्छ। थप रूपमा, एक मुस्कुराउने आक्रमण पहिचान गरियो, टेलिग्राम प्रयोगकर्ताहरूलाई उनीहरूको खाताहरूमा अनधिकृत नियन्त्रण प्राप्त गर्ने उद्देश्यका साथ लक्षित गर्दै।

GhostWriter युक्रेनलाई लक्षित गर्ने साइबर अपराध समूहहरू मध्ये एक मात्र हो

युक्रेन कुख्यात रूसी राष्ट्र-राज्य समूह APT28 सहित धेरै खतरा अभिनेताहरूको लागि लक्ष्य भएको छ। APT28 ले एचटीएमएल एट्याचमेन्टहरू सहित फिसिङ इमेलहरू पठाउने रणनीति प्रयोग गरेको देखियो, प्राप्तकर्ताहरूलाई उनीहरूको UKR.NET र Yahoo! खाताहरू। इमेलहरूले प्रयोगकर्ताहरूलाई तिनीहरूको पासवर्डहरू परिवर्तन गर्न प्रोम्प्ट गर्दछ तर यसको सट्टा, तिनीहरूलाई लगइन प्रमाणहरू सङ्कलन गर्न डिजाइन गरिएको नक्कली ल्यान्डिङ पृष्ठहरूमा लैजान्छ।

यो हालको विकास रूसी सैन्य खुफिया (GRU) - सम्बद्ध ह्याकरहरूको गतिविधिहरूमा अवलोकन गरिएको फराकिलो ढाँचाको अंश हो। उनीहरूले युक्रेन विरुद्धको विघटनकारी कार्यहरूमा 'मानक पाँच-चरण प्लेबुक' अपनाएका छन्, उनीहरूको आक्रमणको गति, मापन र तीव्रता बढाउन जानाजानी प्रयास प्रदर्शन गर्दै।