Скидка на мультилицензию
База данных угроз Вредоносное ПО Имплантат PowerModul

Имплантат PowerModul

К Mezo году в Вредоносное ПО, Бэкдоры году
Перевести на:
Русский

Злоумышленник, известный как Paper Werewolf (также известный как GOFFEE), атаковал исключительно российские организации, используя новый имплант PowerModul. В период с июля по декабрь 2024 года их атаки были сосредоточены на ключевых отраслях, включая средства массовой информации, телекоммуникации, строительство, государственные учреждения и энергетический сектор.

Постоянный противник: кампании с 2022 года

С 2022 года Paper Werewolf провела не менее семи кампаний. Группа постоянно фокусируется на важных целях в государственном, энергетическом, финансовом и медийном секторах.

Больше, чем шпионаж: разрушительные повороты в цепях атак

Операции Paper Werewolf выходят за рамки традиционного кибершпионажа. Было замечено, что их цепочки атак включают в себя деструктивные компоненты, такие как изменение паролей учетных записей сотрудников, что указывает на намерение парализовать операции, а не просто украсть данные.

Точка входа: фишинговые приманки и PowerRAT

Атаки обычно начинаются с фишинговых писем, содержащих документы с макросами. Как только жертва получает доступ к файлу и включает макросы, развертывается троян удаленного доступа на базе PowerShell, известный как PowerRAT . Эта вредоносная программа готовит почву для более сложных полезных нагрузок.

Арсенал вредоносного ПО: PowerTaskel, QwakMyAgent и Owowa

Полезные нагрузки следующего этапа часто включают PowerTaskel и QwakMyAgent, пользовательские версии агентов на основе фреймворка Mythic. Другой инструмент, Owowa, вредоносный модуль IIS, используется для кражи учетных данных Microsoft Outlook, введенных через веб-клиенты.

Новая тактика заражения: замаскированные исполняемые файлы в архивах RAR

Последняя волна атак включает вредоносный архив RAR, содержащий исполняемый файл, замаскированный под документ PDF или Word с использованием двойных расширений (например, *.pdf.exe). После запуска пользователю показывается поддельный документ, в то время как система незаметно заражается в фоновом режиме.

Исполняемый файл на самом деле представляет собой исправленный системный файл Windows (например, explorer.exe), в который встроен вредоносный шелл-код, содержащий замаскированный агент Mythic, который подключается к серверу C2 для получения дальнейших инструкций.

Альтернативный путь атаки: PowerModul выходит на первый план

В альтернативном методе Paper Werewolf использует архив RAR с документом Office с макросами, который действует как дроппер для PowerModul. Этот скрипт PowerShell может выполнять дополнительные скрипты с сервера C2, что делает его универсальным бэкдором.

Парад полезной нагрузки: набор инструментов для шпионажа и заражения

PowerModul используется с начала 2024 года, в основном для загрузки и запуска PowerTaskel. Другие известные полезные нагрузки включают:

  • FlashFileGrabber : крадет файлы с флеш-накопителей и извлекает их.
  • FlashFileGrabberOffline : ищет файлы с определенными расширениями на флэш-носителе и сохраняет их локально для последующего извлечения.
  • USB-червь : заражает флэш-накопители копией PowerModul для дальнейшего распространения вредоносного ПО.

Возможности PowerTaskel: больше, чем просто выполнение скриптов

PowerTaskel, хотя и похож на PowerModul, более эффективен. Он отправляет сообщение «checkin» с системной информацией, запускает команды с сервера C2 и может повышать привилегии с помощью PsExec. В одном случае было замечено выполнение скрипта FolderFileGrabber, который собирает файлы с удаленных систем, используя жестко закодированные сетевые пути SMB.

Эволюция тактики: отход от PowerTaskel

Впервые Paper Werewolf использовала мошеннические документы Word со скриптами VBA для первоначального доступа. Недавние результаты также указывают на тактический сдвиг: группа отходит от PowerTaskel и все больше полагается на бинарных агентов Mythic для горизонтального перемещения в целевых сетях.

Заключительные мысли: растущая угроза с развитием методов

Paper Werewolf продолжает совершенствовать свои методы и расширять свой арсенал. Исключительная ориентация на российские организации в сочетании с разрушительными возможностями и развивающейся стратегией заражения делает его серьезной и постоянной киберугрозой на горизонте.

В тренде

Мошенническое письмо VoxFlowG USDT Airdrop

Фишинг, Спам
С ростом популярности криптовалют мошенники разрабатывают все более изощренные тактики, чтобы обманом заставить пользователей отдать свои цифровые активы. Одной из таких мошеннических схем является мошенничество с электронными письмами VoxFlowG USDT Airdrop, которое обманывает ничего не подозревающих людей, обещая им бесплатный Tether (USDT). Эта тактика предназначена для сбора средств из...

Chase - Перевод обрабатывается и будет вычтен....

Фишинг, Спам
Интернет полон возможностей и удобств, но он также является рассадником киберугроз. Мошенники постоянно изобретают новые способы обмана пользователей, кражи конфиденциальных данных и использования финансовых счетов. Одной из таких схем является мошенничество с электронной почтой «Chase - Transfer Is Processing And Will Be Deducted», которое наживается на ничего не подозревающих жертвах, выдавая...

Ampention.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
В Интернете существует бесчисленное множество обманных веб-сайтов, которые обманом заставляют пользователей взаимодействовать с вводящим в заблуждение контентом. Одной из таких мошеннических...

Наиболее просматриваемые

Загрузка...