PicassoLoader-malware
Infosec-experts hebben een reeks cyberaanvalcampagnes geïdentificeerd tegen doelen in Oekraïne en Polen. Cybercriminelen richten zich op het compromitteren van overheidsinstanties, militaire organisaties en civiele gebruikers. Deze campagnes hebben tot doel op illegale wijze gevoelige gegevens te verkrijgen en continue toegang op afstand tot de gecompromitteerde systemen tot stand te brengen.
Deze inbraakcampagne beslaat een periode van april 2022 tot juli 2023 en maakt gebruik van verschillende tactieken. Phishing-lokmiddelen en lokdocumenten worden gebruikt om slachtoffers te misleiden en de inzet van een downloader-malware, bekend als PicassoLoader, te vergemakkelijken. Deze bedreigende software dient als toegangspoort om andere onveilige tools te lanceren, met name de Cobalt Strike Beacon en njRAT .
Phishing-lokmiddelen zijn misleidende technieken die worden gebruikt om individuen te misleiden om gevoelige informatie vrij te geven, zoals gebruikersnamen, wachtwoorden of accountreferenties. Decoy-documenten zijn vermomde bestanden die zijn ontworpen om legitiem te lijken, maar in werkelijkheid onveilige payloads bevatten. Door slachtoffers te verleiden tot interactie met deze lokdocumenten, kunnen de aanvallers de PicassoLoader-downloader op hun systemen uitvoeren.
Zodra PicassoLoader met succes is ingezet, dient het als kanaal voor de volgende fase van de aanval. Het maakt de installatie en uitvoering van twee extra soorten malware mogelijk: de Cobalt Strike Beacon en njRAT. De Cobalt Strike Beacon is een geavanceerd instrument voor penetratietesten waarmee aanvallers ongeoorloofde toegang tot en controle over gecompromitteerde systemen kunnen krijgen. Wat betreft njRAT, het is een trojan voor externe toegang die de aanvallers ongeoorloofde externe toegang tot de geïnfecteerde systemen biedt, waardoor ze onopgemerkt kwaadaardige activiteiten kunnen uitvoeren.
Inhoudsopgave
De PicassoLoader-malware wordt ingezet als onderdeel van een meertraps infectieketen
De aanvallers achter PicassoLoader gebruikten een meertraps infectieketen om hun schadelijke activiteiten uit te voeren. De eerste fase omvatte het gebruik van gecompromitteerde Microsoft Office-documenten, waarbij Microsoft Excel- en PowerPoint-bestandsindelingen het meest werden gebruikt. Deze documenten dienen als uitgangspunt voor de aanval.
Na de Office-documenten zijn een uitvoerbare downloader en payload verborgen in een afbeeldingsbestand. Deze tactiek werd waarschijnlijk gebruikt om de detectie van de downloader en payload uitdagender te maken voor beveiligingssystemen. Door zich in een afbeeldingsbestand te verstoppen, proberen de aanvallers beveiligingsmaatregelen te omzeilen en de kans op succesvolle infiltratie te vergroten.
Sommige van deze aanvallen zijn toegeschreven aan een bedreigingsactor die bekend staat als GhostWriter, ook wel getraceerd als UAC-0057 of UNC1151. Aangenomen wordt dat de motivaties en doelstellingen van GhostWriter aansluiten bij de belangen van de Wit-Russische regering.
Er zijn talloze gerichte aanvallen op Oekraïne waargenomen
Het is vermeldenswaard dat een deel van deze aanvallen het afgelopen jaar al is gedocumenteerd door het Computer Emergency Response Team (CERT-UA) van Oekraïne. Een opmerkelijk voorbeeld deed zich voor in juli 2022, waar met macro's beladen PowerPoint-documenten werden gebruikt om de Agent Tesla- malware te leveren. Dit incident benadrukte het gebruik van macro's als middel om malware te verspreiden en de systemen van slachtoffers te compromitteren.
De infectieketens die bij deze aanvallen worden gebruikt, zijn afhankelijk van social engineering-methoden om slachtoffers te overtuigen macro's in de Office-documenten in te schakelen. Zodra de macro's zijn ingeschakeld, wordt een VBA-macro geactiveerd, wat leidt tot de inzet van de PicassoLoader DLL-downloader-bedreiging. Deze downloader brengt vervolgens een verbinding tot stand met een site die wordt beheerd door de aanvallers om de payload van de volgende fase op te halen, die is ingebed in een ogenschijnlijk legitiem afbeeldingsbestand. De uiteindelijke malware is verborgen in dit afbeeldingsbestand.
Deze recente onthullingen door CERT-UA vallen samen met hun rapportage over verschillende phishing-operaties die de SmokeLoader-malware verspreiden. Bovendien werd een smishing-aanval geïdentificeerd, gericht op Telegram-gebruikers met als doel ongeoorloofde controle over hun accounts te krijgen.
GhostWriter is slechts een van de cybercriminaliteitsgroepen die zich op Oekraïne richten
Oekraïne is een doelwit geworden van meerdere dreigingsactoren, waaronder de beruchte Russische natiestaatgroepering APT28 . Er is waargenomen dat APT28 een tactiek toepast waarbij phishing-e-mails met HTML-bijlagen worden verzonden, waarbij ontvangers worden misleid door te geloven dat er verdachte activiteit is in hun UKR.NET- en Yahoo! rekeningen. De e-mails vragen gebruikers om hun wachtwoord te wijzigen, maar leiden hen in plaats daarvan naar valse bestemmingspagina's die zijn ontworpen om hun inloggegevens te verzamelen.
Deze recente ontwikkeling maakt deel uit van een breder patroon dat wordt waargenomen in de activiteiten van met de Russische militaire inlichtingendienst (GRU) geassocieerde hackers. Ze hebben een 'standaard draaiboek met vijf fasen' aangenomen bij hun ontwrichtende operaties tegen Oekraïne, wat blijk geeft van een opzettelijke poging om de snelheid, schaal en intensiteit van hun aanvallen te vergroten.
