Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Implant PowerModul

Implant PowerModul

Până în Mezo în Programe malware, Ușile din spate
Tradu in:
Română

Actorul de amenințare cunoscut sub numele de Vârcolac de hârtie – denumit și GOFFEE – a vizat exclusiv organizațiile rusești folosind un nou implant numit PowerModul. Între iulie și decembrie 2024, atacurile lor s-au concentrat asupra industriilor cheie, inclusiv mass-media, telecomunicațiile, construcțiile, entitățile guvernamentale și sectorul energetic.

Un adversar persistent: campanii din 2022

Vârcolacul de hârtie a desfășurat cel puțin șapte campanii din 2022. Accentul constant al grupului s-a concentrat asupra țintelor de mare valoare din sectoarele guvernamentale, energetice, financiare și media.

Mai mult decât spionaj: răsturnări distructive în lanțuri de atac

Operațiunile vârcolacilor de hârtie depășesc spionajul cibernetic tradițional. Lanțurile lor de atac au fost observate încorporând componente perturbatoare, cum ar fi schimbarea parolelor conturilor angajaților, indicând intenția de a paraliza operațiunile și nu doar de a fura date.

Punct de intrare: Momeli pentru phishing și PowerRAT

Atacurile încep de obicei cu e-mailuri de tip phishing care conțin documente macro-închegate. Odată ce victima accesează fișierul și activează macrocomenzi, este implementat un troian de acces la distanță bazat pe PowerShell, cunoscut sub numele de PowerRAT . Acest malware pregătește scena pentru încărcături utile mai avansate.

Arsenal de programe malware personalizate: PowerTaskel, QwakMyAgent și Owowa

Încărcările utile din etapa următoare includ adesea PowerTaskel și QwakMyAgent, versiuni personalizate ale agenților bazate pe framework-ul Mythic. Un alt instrument, Owowa, un modul IIS rău intenționat, este folosit pentru a fura acreditările Microsoft Outlook introduse prin clienții web.

Noua tactică de infecție: Executabile deghizate în arhivele RAR

Cel mai recent val de atacuri prezintă o arhivă RAR rău intenționată care conține un executabil deghizat în document PDF sau Word folosind extensii duble (de exemplu, *.pdf.exe). La execuție, un document momeală este afișat utilizatorului, în timp ce sistemul este infectat în tăcere în fundal.

Executabilul este de fapt un fișier de sistem Windows corectat (cum ar fi explorer.exe), încorporat cu shellcode rău intenționat care conține un agent Mythic ofuscat, care se conectează la serverul C2 pentru instrucțiuni suplimentare.

Rută alternativă de atac: PowerModul ocupă centrul atenției

Într-o metodă alternativă, Paper Werewolf folosește o arhivă RAR cu un document Office macro-început care acționează ca un dropper pentru PowerModul. Acest script PowerShell poate executa scripturi suplimentare de pe serverul C2, făcându-l o ușă versatilă.

Payload Parade: Un set de instrumente pentru spionaj și infecție

PowerModul a fost utilizat de la începutul anului 2024, în primul rând pentru a descărca și rula PowerTaskel. Alte sarcini utile notabile includ:

  • FlashFileGrabber : fură fișiere de pe unități flash și le exfiltrează.
  • FlashFileGrabberOffline : caută fișiere cu extensii specifice pe suporturi flash și le stochează local pentru exfiltrare ulterioară.
  • Vierme USB : Infectează unitățile flash cu o copie a PowerModul pentru a răspândi mai departe malware-ul.

Capabilitățile PowerTaskel: Mai mult decât execuția unui script

Deși este similar cu PowerModul, PowerTaskel este mai capabil. Trimite un mesaj de „checkin” cu informații despre sistem, rulează comenzi de pe serverul C2 și poate escalada privilegiile folosind PsExec. Într-un caz, a fost văzut executând un script FolderFileGrabber care colectează fișiere de la sistemele de la distanță folosind căi de rețea SMB codificate.

Evoluție în tactică: Îndepărtarea de PowerTaskel

Pentru prima dată, Paper Werewolf a folosit documente Word frauduloase cu scripturi VBA pentru accesul inițial. Descoperirile recente indică, de asemenea, o schimbare tactică, grupul se îndepărtează de PowerTaskel și se bazează din ce în ce mai mult pe agenți mitici binari pentru mișcarea laterală în cadrul rețelelor vizate.

Gânduri finale: o amenințare în creștere cu tehnici în evoluție

Vârcolacul de hârtie continuă să-și perfecționeze tehnicile și să-și extindă arsenalul. Concentrarea exclusivă asupra entităților rusești, combinată cu capabilități perturbatoare și o strategie de infecție în evoluție, o face o amenințare cibernetică serioasă și persistentă la orizont.

Trending

Chase - Transferul este în procesare și va fi dedus...

phishing, Spam
Internetul este plin de oportunități și facilități, dar este și un teren propice pentru amenințările cibernetice. Escrocii elaborează în mod continuu noi modalități de a înșela utilizatorii, de a fura date sensibile și de a exploata conturile financiare. O astfel de schemă este înșelătoria prin e-mail „Chase - Transfer Is Processing And Will Be Deducted”, care vizează victimele nebănuitoare...

Cele mai văzute

Se încarcă...