Złośliwe oprogramowanie PicassoLoader
Eksperci Infosec zidentyfikowali serię kampanii cyberataków na cele na Ukrainie iw Polsce. Cyberprzestępcy koncentrują się na kompromitowaniu jednostek rządowych, organizacji wojskowych i użytkowników cywilnych. Kampanie te mają na celu nielegalne uzyskanie poufnych danych i ustanowienie stałego zdalnego dostępu do zaatakowanych systemów.
Ta kampania włamań, obejmująca okres od kwietnia 2022 r. do lipca 2023 r., wykorzystuje różne taktyki. Przynęty phishingowe i dokumenty-wabiki są wykorzystywane do oszukiwania ofiar i ułatwiania wdrażania złośliwego oprogramowania do pobierania znanego jako PicassoLoader. To groźne oprogramowanie służy jako brama do uruchamiania innych niebezpiecznych narzędzi, w szczególności Cobalt Strike Beacon i njRAT .
Przynęty phishingowe to zwodnicze techniki wykorzystywane do nakłaniania osób do ujawnienia poufnych informacji, takich jak nazwy użytkowników, hasła lub dane uwierzytelniające konta. Dokumenty-wabiki to ukryte pliki, które mają sprawiać wrażenie legalnych, ale w rzeczywistości zawierają niebezpieczne ładunki. Zachęcając ofiary do interakcji z tymi wabikami, osoby atakujące mogą uruchamiać program pobierający PicassoLoader w swoich systemach.
Po pomyślnym wdrożeniu PicassoLoader służy jako kanał do następnego etapu ataku. Umożliwia instalację i uruchomienie dwóch dodatkowych rodzajów złośliwego oprogramowania: Cobalt Strike Beacon i njRAT. Cobalt Strike Beacon to zaawansowane narzędzie do testowania penetracji, które umożliwia atakującym uzyskanie nieautoryzowanego dostępu i kontroli nad zaatakowanymi systemami. Jeśli chodzi o njRAT, jest to trojan zdalnego dostępu, który zapewnia atakującym nieautoryzowany zdalny dostęp do zainfekowanych systemów, umożliwiając im niewykrywanie złośliwych działań.
Spis treści
Złośliwe oprogramowanie PicassoLoader jest wdrażane jako część wieloetapowego łańcucha infekcji
Osoby atakujące stojące za programem PicassoLoader wykorzystywały wieloetapowy łańcuch infekcji do przeprowadzania szkodliwych działań. Na początkowym etapie wykorzystano skompromitowane dokumenty pakietu Microsoft Office, przy czym najczęściej wykorzystywano formaty plików Microsoft Excel i PowerPoint. Dokumenty te służą jako punkt wyjścia do ataku.
Po dokumentach Office wykonywalny program do pobierania i ładunek są ukryte w pliku obrazu. Ta taktyka została prawdopodobnie zastosowana, aby utrudnić systemom bezpieczeństwa wykrycie programu pobierającego i ładunku. Ukrywając się w pliku obrazu, osoby atakujące mają na celu obejście środków bezpieczeństwa i zwiększenie szans na udaną infiltrację.
Niektóre z tych ataków zostały przypisane cyberprzestępcy znanemu jako GhostWriter, śledzonemu również jako UAC-0057 lub UNC1151. Uważa się, że motywacje i cele GhostWriter są zgodne z interesami białoruskiego rządu.
Zaobserwowano liczne ukierunkowane ataki na Ukrainę
Warto wspomnieć, że część tych ataków została już udokumentowana w ciągu ostatniego roku przez ukraiński zespół reagowania na incydenty komputerowe (CERT-UA). Jeden z godnych uwagi przykładów miał miejsce w lipcu 2022 r., kiedy dokumenty programu PowerPoint wypełnione makrami zostały wykorzystane do dostarczenia złośliwego oprogramowania Agent Tesla . Incydent ten uwydatnił wykorzystanie makr jako środka do dystrybucji złośliwego oprogramowania i naruszenia bezpieczeństwa systemów ofiar.
Łańcuchy infekcji wykorzystywane w tych atakach opierają się na metodach inżynierii społecznej, aby przekonać ofiary do włączenia makr w dokumentach pakietu Office. Po włączeniu makr uruchamiane jest makro VBA, co prowadzi do wdrożenia zagrożenia programu PicassoLoader DLL downloader. Następnie ten downloader nawiązuje połączenie z witryną kontrolowaną przez osoby atakujące w celu pobrania ładunku następnego etapu, który jest osadzony w pozornie legalnym pliku obrazu. Ostateczne złośliwe oprogramowanie jest ukryte w tym pliku obrazu.
Te niedawne ujawnienia CERT-UA pokrywają się z doniesieniami dotyczącymi kilku operacji phishingowych polegających na dystrybucji złośliwego oprogramowania SmokeLoader. Ponadto zidentyfikowano atak typu smishing, wymierzony w użytkowników Telegrama w celu uzyskania nieautoryzowanej kontroli nad ich kontami.
GhostWriter to tylko jedna z grup cyberprzestępczych atakujących Ukrainę
Ukraina stała się celem wielu cyberprzestępców, w tym cieszącej się złą sławą rosyjskiej grupy państw narodowych APT28 . Zaobserwowano, że APT28 stosuje taktykę wysyłania e-maili phishingowych z załącznikami HTML, oszukując odbiorców, aby uwierzyli, że w ich UKR.NET i Yahoo! konta. Wiadomości e-mail zachęcają użytkowników do zmiany hasła, ale zamiast tego prowadzą ich do fałszywych stron docelowych zaprojektowanych w celu zebrania danych logowania.
Ten niedawny rozwój jest częścią szerszego schematu obserwowanego w działaniach hakerów związanych z rosyjskim wywiadem wojskowym (GRU). W swoich destrukcyjnych operacjach przeciwko Ukrainie przyjęli „standardowy pięciofazowy plan działania”, demonstrując świadomy wysiłek w celu zwiększenia szybkości, skali i intensywności swoich ataków.
