Вредоносное ПО PicassoLoader
Эксперты Infosec выявили серию кампаний кибератак на цели в Украине и Польше. Киберпреступники сосредоточены на компрометации государственных структур, военных организаций и гражданских пользователей. Эти кампании направлены на незаконное получение конфиденциальных данных и установление постоянного удаленного доступа к скомпрометированным системам.
Эта кампания по вторжению, охватывающая период с апреля 2022 года по июль 2023 года, использует различные тактики. Фишинговые приманки и документы-приманки используются для обмана жертв и облегчения развертывания вредоносного ПО-загрузчика, известного как PicassoLoader. Это угрожающее программное обеспечение служит шлюзом для запуска других небезопасных инструментов, в частности Cobalt Strike Beacon и njRAT .
Фишинговые приманки — это методы обмана, используемые для того, чтобы обманом заставить людей раскрыть конфиденциальную информацию, такую как имена пользователей, пароли или учетные данные. Документы-приманки — это замаскированные файлы, которые выглядят законными, но на самом деле содержат небезопасную полезную нагрузку. Побуждая жертв взаимодействовать с этими документами-приманками, злоумышленники могут запустить загрузчик PicassoLoader в свои системы.
После успешного развертывания PicassoLoader он служит каналом для следующего этапа атаки. Он позволяет устанавливать и запускать два дополнительных типа вредоносных программ: Cobalt Strike Beacon и njRAT. Cobalt Strike Beacon — это сложный инструмент тестирования на проникновение, который позволяет злоумышленникам получить несанкционированный доступ и контроль над скомпрометированными системами. Что касается njRAT, то это троян удаленного доступа, который предоставляет злоумышленникам несанкционированный удаленный доступ к зараженным системам, позволяя им выполнять вредоносные действия незамеченными.
Оглавление
Вредоносная программа PicassoLoader развертывается как часть многоэтапной цепочки заражения
Злоумышленники, стоящие за PicassoLoader, использовали многоступенчатую цепочку заражения для выполнения своих вредоносных действий. На начальном этапе использовались скомпрометированные документы Microsoft Office, причем чаще всего использовались форматы файлов Microsoft Excel и PowerPoint. Эти документы служат отправной точкой для атаки.
В соответствии с документами Office исполняемый загрузчик и полезная нагрузка скрыты в файле изображения. Эта тактика, вероятно, использовалась, чтобы затруднить обнаружение загрузчика и полезной нагрузки для систем безопасности. Скрываясь в файле изображения, злоумышленники стремятся обойти меры безопасности и увеличить шансы на успешное проникновение.
Некоторые из этих атак были приписаны злоумышленнику, известному как GhostWriter, который также отслеживается как UAC-0057 или UNC1151. Считается, что мотивы и цели GhostWriter соответствуют интересам белорусского правительства.
Зафиксированы многочисленные точечные атаки на Украину
Стоит отметить, что часть этих атак уже была задокументирована за последний год Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Один примечательный пример произошел в июле 2022 года, когда загруженные макросами документы PowerPoint использовались для доставки вредоносного ПО Agent Tesla . Этот инцидент высветил использование макросов в качестве средства для распространения вредоносных программ и компрометации систем жертв.
Цепочки заражения, используемые в этих атаках, основаны на методах социальной инженерии, чтобы убедить жертв активировать макросы в документах Office. После включения макросов запускается макрос VBA, что приводит к развертыванию угрозы загрузчика DLL PicassoLoader. Затем этот загрузчик устанавливает соединение с сайтом, контролируемым злоумышленниками, чтобы получить полезную нагрузку следующего этапа, которая встроена в кажущийся законным файл изображения. Окончательное вредоносное ПО скрыто в этом файле образа.
Эти недавние разоблачения CERT-UA совпадают с их сообщением о нескольких фишинговых операциях по распространению вредоносного ПО SmokeLoader. Кроме того, была выявлена мошенническая атака, нацеленная на пользователей Telegram с целью получения несанкционированного контроля над их учетными записями.
GhostWriter — всего лишь одна из киберпреступных группировок, нацеленных на Украину
Украина стала мишенью для множества злоумышленников, включая печально известную российскую группу национального государства APT28 . Было замечено, что APT28 использует тактику отправки фишинговых электронных писем с вложениями HTML, обманывая получателей, заставляя их поверить в подозрительную активность в их UKR.NET и Yahoo! Счета. Электронные письма предлагают пользователям сменить свои пароли, но вместо этого ведут их на поддельные целевые страницы, предназначенные для сбора их учетных данных для входа.
Это недавнее событие является частью более широкой модели, наблюдаемой в деятельности хакеров, связанных с российской военной разведкой (ГРУ). Они приняли «стандартный пятиэтапный сценарий» в своих подрывных операциях против Украины, демонстрируя преднамеренные усилия по увеличению скорости, масштаба и интенсивности своих атак.
