PicassoLoader Malware
Experții Infosec au identificat o serie de campanii de atac cibernetic împotriva țintelor din Ucraina și Polonia. Infractorii cibernetici se concentrează pe compromiterea entităților guvernamentale, organizațiilor militare și utilizatorilor civili. Aceste campanii urmăresc obținerea ilicit de date sensibile și stabilirea accesului continuu de la distanță la sistemele compromise.
Cuprinzând o perioadă din aprilie 2022 până în iulie 2023, această campanie de intruziune utilizează diverse tactici. Momeli de phishing și documente de momeală sunt folosite pentru a înșela victimele și pentru a facilita implementarea unui program malware de descărcare cunoscut sub numele de PicassoLoader. Acest software amenințător servește ca o poartă pentru lansarea altor instrumente nesigure, în special Cobalt Strike Beacon și njRAT .
Nalucile pentru phishing sunt tehnici înșelătoare folosite pentru a păcăli persoanele să dezvăluie informații sensibile, cum ar fi numele de utilizator, parolele sau acreditările contului. Documentele decoy sunt fișiere deghizate, concepute să pară legitime, dar să conțină de fapt încărcături utile nesigure. Ademenind victimele să interacționeze cu aceste documente momeală, atacatorii pot executa descărcarea PicassoLoader pe sistemele lor.
Odată ce PicassoLoader este implementat cu succes, acesta servește drept canal pentru următoarea etapă a atacului. Acesta permite instalarea și executarea a două tipuri suplimentare de malware: Cobalt Strike Beacon și njRAT. Cobalt Strike Beacon este un instrument sofisticat de testare a pătrunderii care permite atacatorilor să obțină acces neautorizat și control asupra sistemelor compromise. În ceea ce privește njRAT, este un troian de acces la distanță care oferă atacatorilor acces de la distanță neautorizat la sistemele infectate, permițându-le să desfășoare activități rău intenționate nedetectați.
Cuprins
Programul malware PicassoLoader este implementat ca parte a unui lanț de infecție în mai multe etape
Atacatorii din spatele PicassoLoader au folosit un lanț de infecție în mai multe etape pentru a-și desfășura activitățile dăunătoare. Etapa inițială a implicat utilizarea documentelor Microsoft Office compromise, formatele de fișiere Microsoft Excel și PowerPoint fiind cele mai frecvent utilizate. Aceste documente servesc drept punct de plecare pentru atac.
În urma documentelor Office, un descărcator executabil și o încărcare utilă sunt ascunse într-un fișier imagine. Această tactică a fost probabil folosită pentru a face detectarea descărcatorului și a încărcăturii utile mai dificilă pentru sistemele de securitate. Ascunzându-se într-un fișier imagine, atacatorii urmăresc să ocolească măsurile de securitate și să mărească șansele de infiltrare cu succes.
Unele dintre aceste atacuri au fost atribuite unui actor de amenințare cunoscut sub numele de GhostWriter, urmărit și ca UAC-0057 sau UNC1151. Se crede că motivațiile și obiectivele GhostWriter sunt aliniate cu interesele guvernului belarus.
Au fost observate numeroase atacuri direcționate împotriva Ucrainei
Este demn de menționat că un subset al acestor atacuri fusese deja documentat în ultimul an de către Echipa Ucrainei de Răspuns la Urgență Informatică (CERT-UA). Un exemplu notabil a avut loc în iulie 2022, când au fost folosite documente PowerPoint încărcate de macro pentru a furniza malware-ul Agent Tesla . Acest incident a evidențiat utilizarea macrocomenzilor ca mijloc de distribuire a malware și de compromitere a sistemelor victimelor.
Lanțurile de infecție utilizate în aceste atacuri se bazează pe metode de inginerie socială pentru a convinge victimele să activeze macrocomenzi în documentele Office. Odată ce macrocomenzile sunt activate, este declanșată o macrocomandă VBA, ceea ce duce la implementarea amenințării de descărcare DLL PicassoLoader. Acest program de descărcare stabilește apoi o conexiune cu un site controlat de atacatori pentru a prelua încărcătura utilă din etapa următoare, care este încorporată într-un fișier imagine aparent legitim. Ultimul malware este ascuns în acest fișier imagine.
Aceste dezvăluiri recente de către CERT-UA coincid cu raportarea lor cu privire la mai multe operațiuni de phishing care distribuie malware-ul SmokeLoader. În plus, a fost identificat un atac smishing, care vizează utilizatorii Telegram cu scopul de a obține control neautorizat asupra conturilor lor.
GhostWriter este doar unul dintre grupurile de criminalitate cibernetică care vizează Ucraina
Ucraina a devenit o țintă pentru mai mulți actori amenințări, inclusiv notoriul grup de stat național rus APT28 . S-a observat că APT28 folosește o tactică de a trimite e-mailuri de phishing cu atașamente HTML, păcălindu-i pe destinatari să creadă că există activitate suspectă în UKR.NET și Yahoo! conturi. E-mailurile îi solicită utilizatorilor să-și schimbe parolele, dar, în schimb, îi conduc către pagini de destinație false concepute pentru a-și colecta acreditările de conectare.
Această evoluție recentă face parte dintr-un model mai larg observat în activitățile hackerilor asociați informațiilor militare ruse (GRU). Ei au adoptat un „cadru standard în cinci faze” în operațiunile lor perturbatoare împotriva Ucrainei, demonstrând un efort deliberat de a spori viteza, amploarea și intensitatea atacurilor lor.
