PowerModul Implant
De dreigingsactor die bekendstaat als Paper Werewolf – ook wel bekend als GOFFEE – richt zich uitsluitend op Russische organisaties met behulp van een nieuw implantaat genaamd PowerModul. Tussen juli en december 2024 richtten hun aanvallen zich op belangrijke sectoren, waaronder de massamedia, telecommunicatie, bouw, overheidsinstanties en de energiesector.
Inhoudsopgave
Een aanhoudende tegenstander: campagnes sinds 2022
The Paper Werewolf heeft sinds 2022 minstens zeven campagnes uitgevoerd. De groep richt zich consequent op waardevolle doelen binnen de overheid, energie, financiële sector en media.
Meer dan spionage: destructieve wendingen in aanvalsketens
De activiteiten van Paper Werewolf gaan verder dan traditionele cyberespionage. Er zijn aanvallen waargenomen die verstorende componenten bevatten, zoals het wijzigen van wachtwoorden van medewerkersaccounts. Dit wijst erop dat ze de intentie hebben om de operaties te dwarsbomen en niet alleen om gegevens te stelen.
Instappunt: phishing-lokmiddelen en PowerRAT
De aanvallen beginnen meestal met phishingmails met documenten die vol zitten met macro's. Zodra het slachtoffer toegang krijgt tot het bestand en macro's activeert, wordt een PowerShell-gebaseerde trojan voor externe toegang, PowerRAT genaamd, geïnstalleerd. Deze malware maakt de weg vrij voor geavanceerdere payloads.
Aangepast malware-arsenaal: PowerTaskel, QwakMyAgent en Owowa
De volgende fase-payloads omvatten vaak PowerTaskel en QwakMyAgent, aangepaste versies van agents gebaseerd op het Mythic-framework. Een andere tool, Owowa, een kwaadaardige IIS-module, wordt gebruikt om Microsoft Outlook-inloggegevens te stelen die via webclients worden ingevoerd.
Nieuwe infectietactiek: vermomde uitvoerbare bestanden in RAR-archieven
De nieuwste golf aanvallen maakt gebruik van een kwaadaardig RAR-archief met een uitvoerbaar bestand vermomd als een PDF- of Word-document met dubbele extensies (bijvoorbeeld *.pdf.exe). Na uitvoering wordt een nepdocument aan de gebruiker getoond, terwijl het systeem stilletjes op de achtergrond wordt geïnfecteerd.
Het uitvoerbare bestand is in feite een gepatcht Windows-systeembestand (zoals explorer.exe), dat is ingebed in schadelijke shellcode met een verhulde Mythic-agent, die verbinding maakt met de C2-server voor verdere instructies.
Alternatieve aanvalsroute: PowerModul staat centraal
In een alternatieve methode gebruikt Paper Werewolf een RAR-archief met een Office-document vol macro's dat fungeert als een dropper voor PowerModul. Dit PowerShell-script kan extra scripts uitvoeren vanaf de C2-server, wat het een veelzijdige backdoor maakt.
Payload Parade: een toolkit voor spionage en infectie
PowerModul wordt sinds begin 2024 gebruikt, voornamelijk om PowerTaskel te downloaden en uit te voeren. Andere opvallende payloads zijn onder andere:
- FlashFileGrabber : steelt bestanden van flashdrives en exfiltreert deze.
- FlashFileGrabberOffline : Zoekt naar bestanden met specifieke extensies op flashmedia en slaat deze lokaal op voor latere exfiltratie.
- USB-worm : infecteert flashdrives met een kopie van PowerModul om de malware verder te verspreiden.
De mogelijkheden van PowerTaskel: meer dan alleen scriptuitvoering
Hoewel PowerTaskel vergelijkbaar is met PowerModul, biedt het meer mogelijkheden. Het stuurt een 'checkin'-bericht met systeeminformatie, voert opdrachten uit vanaf de C2-server en kan privileges verhogen met PsExec. In één geval werd een FolderFileGrabber-script uitgevoerd dat bestanden van externe systemen verzamelt met behulp van hardgecodeerde SMB-netwerkpaden.
Evolutie in tactieken: afstappen van PowerTaskel
Voor het eerst heeft Paper Werewolf frauduleuze Word-documenten met VBA-scripts gebruikt voor initiële toegang. Recente bevindingen wijzen ook op een tactische verschuiving, waarbij de groep afstapt van PowerTaskel en steeds meer vertrouwt op binaire Mythic-agents voor laterale verplaatsing binnen doelnetwerken.
Laatste gedachten: een groeiende bedreiging met evoluerende technieken
Paper Werewolf blijft zijn technieken verfijnen en zijn arsenaal uitbreiden. De exclusieve focus op Russische entiteiten, gecombineerd met disruptieve mogelijkheden en een evoluerende infectiestrategie, maakt het een serieuze en aanhoudende cyberdreiging aan de horizon.
