Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Implant PowerModul

Implant PowerModul

Do Mezo w Złośliwe oprogramowanie, Tylne drzwi
Przetłumacz na:
Polski

Aktor zagrożeń znany jako Paper Werewolf — znany również jako GOFFEE — atakował wyłącznie rosyjskie organizacje, używając nowego implantu o nazwie PowerModul. W okresie od lipca do grudnia 2024 r. ich ataki skupiły się na kluczowych branżach, w tym mediach masowego przekazu, telekomunikacji, budownictwie, podmiotach rządowych i sektorze energetycznym.

Uporczywy przeciwnik: kampanie od 2022 r.

Paper Werewolf przeprowadził co najmniej siedem kampanii od 2022 r. Grupa konsekwentnie skupia się na celach o wysokiej wartości w sektorach rządowym, energetycznym, finansowym i medialnym.

Więcej niż szpiegostwo: destrukcyjne zwroty akcji w łańcuchach ataków

Działania Paper Werewolf wykraczają poza tradycyjne cybernetyczne szpiegostwo. Zaobserwowano, że ich łańcuchy ataków zawierają elementy zakłócające, takie jak zmiana haseł kont pracowników, wskazujące na zamiar sparaliżowania operacji, a nie tylko kradzieży danych.

Punkt wejścia: przynęty phishingowe i PowerRAT

Ataki zazwyczaj zaczynają się od wiadomości e-mail phishingowych zawierających dokumenty z makrami. Gdy ofiara uzyska dostęp do pliku i włączy makra, wdrażany jest oparty na PowerShell trojan zdalnego dostępu znany jako PowerRAT . To złośliwe oprogramowanie przygotowuje grunt pod bardziej zaawansowane ładunki.

Niestandardowy arsenał złośliwego oprogramowania: PowerTaskel, QwakMyAgent i Owowa

Ładunki następnego etapu często obejmują PowerTaskel i QwakMyAgent, niestandardowe wersje agentów oparte na strukturze Mythic. Inne narzędzie, Owowa, złośliwy moduł IIS, służy do kradzieży poświadczeń Microsoft Outlook wprowadzanych za pośrednictwem klientów internetowych.

Nowa taktyka infekcji: ukryte pliki wykonywalne w archiwach RAR

Najnowsza fala ataków obejmuje złośliwe archiwum RAR zawierające plik wykonywalny zamaskowany jako dokument PDF lub Word z podwójnymi rozszerzeniami (np. *.pdf.exe). Po uruchomieniu użytkownikowi pokazywany jest dokument-przynęta, podczas gdy system jest po cichu infekowany w tle.

Plik wykonywalny jest w rzeczywistości poprawionym plikiem systemowym Windows (podobnym do explorer.exe), zawierającym złośliwy kod powłoki zawierający zamaskowanego agenta Mythic, który łączy się z serwerem C2 w celu uzyskania dalszych instrukcji.

Alternatywna trasa ataku: PowerModul zajmuje centralne miejsce

W alternatywnej metodzie Paper Werewolf używa archiwum RAR z dokumentem Office z makrami, który działa jako dropper dla PowerModul. Ten skrypt PowerShell może wykonywać dodatkowe skrypty z serwera C2, co czyni go wszechstronnym backdoorem.

Parada ładunków: zestaw narzędzi do szpiegostwa i infekcji

PowerModul jest używany od początku 2024 r., głównie do pobierania i uruchamiania PowerTaskel. Inne godne uwagi ładunki obejmują:

  • FlashFileGrabber : Kradnie pliki z dysków flash i je eksfiltruje.
  • FlashFileGrabberOffline : wyszukuje pliki o określonych rozszerzeniach na nośnikach flash i przechowuje je lokalnie w celu późniejszego usunięcia.
  • USB Worm : infekuje dyski flash kopią PowerModul w celu dalszego rozprzestrzeniania złośliwego oprogramowania.

Możliwości PowerTaskel: więcej niż tylko wykonywanie skryptów

Choć podobny do PowerModul, PowerTaskel jest bardziej wydajny. Wysyła wiadomość „checkin” z informacjami o systemie, uruchamia polecenia z serwera C2 i może eskalować uprawnienia za pomocą PsExec. W jednym przypadku zaobserwowano wykonywanie skryptu FolderFileGrabber, który zbiera pliki ze zdalnych systemów za pomocą zakodowanych na stałe ścieżek sieciowych SMB.

Ewolucja taktyk: odejście od PowerTaskel

Po raz pierwszy Paper Werewolf użył fałszywych dokumentów Word ze skryptami VBA do początkowego dostępu. Ostatnie odkrycia wskazują również na zmianę taktyki, ponieważ grupa odchodzi od PowerTaskel i coraz bardziej polega na binarnych agentach Mythic do ruchu bocznego w obrębie docelowych sieci.

Ostatnie przemyślenia: Rosnące zagrożenie wraz z ewoluującymi technikami

Paper Werewolf nadal udoskonala swoje techniki i rozszerza swój arsenał. Wyłączne skupienie się na podmiotach rosyjskich, w połączeniu z możliwościami zakłócającymi i ewoluującą strategią infekcji, sprawia, że jest to poważne i uporczywe zagrożenie cybernetyczne na horyzoncie.

Popularne

Chase - Transfer jest przetwarzany i zostanie odjęty...

Phishing, Spam
Internet jest pełen możliwości i udogodnień, ale jest również siedliskiem cyberzagrożeń. Oszuści nieustannie wymyślają nowe sposoby na oszukiwanie użytkowników, kradzież poufnych danych i wykorzystywanie kont finansowych. Jednym z takich schematów jest oszustwo e-mailowe „Chase - Transfer Is Processing And Will Be Deducted”, które żeruje na niczego niepodejrzewających ofiarach, podszywając się...

Najczęściej oglądane

Ładowanie...