Malvér PicassoLoader

Experti Infosec identifikovali sériu kampaní kybernetických útokov proti cieľom na Ukrajine a v Poľsku. Kyberzločinci sa zameriavajú na kompromitovanie vládnych subjektov, vojenských organizácií a civilných používateľov. Cieľom týchto kampaní je nezákonne získať citlivé údaje a vytvoriť nepretržitý vzdialený prístup k napadnutým systémom.

V období od apríla 2022 do júla 2023 táto kampaň proti prieniku využíva rôzne taktiky. Phishingové návnady a návnady sa používajú na oklamanie obetí a uľahčenie nasadenia škodlivého softvéru na sťahovanie známeho ako PicassoLoader. Tento hrozivý softvér slúži ako brána na spustenie ďalších nebezpečných nástrojov, konkrétne Cobalt Strike Beacon a njRAT .

Phishingové návnady sú klamlivé techniky používané na oklamanie jednotlivcov, aby prezradili citlivé informácie, ako sú používateľské mená, heslá alebo poverenia účtu. Nástražné dokumenty sú skryté súbory navrhnuté tak, aby vyzerali legitímne, ale v skutočnosti obsahujú nebezpečné užitočné zaťaženia. Nalákaním obetí na interakciu s týmito návnadami môžu útočníci spustiť program na stiahnutie PicassoLoader do svojich systémov.

Keď je PicassoLoader úspešne nasadený, slúži ako kanál pre ďalšiu fázu útoku. Umožňuje inštaláciu a spustenie dvoch ďalších typov malvéru: Cobalt Strike Beacon a njRAT. Cobalt Strike Beacon je sofistikovaný nástroj na penetračné testovanie, ktorý útočníkom umožňuje získať neoprávnený prístup a kontrolu nad napadnutými systémami. Pokiaľ ide o njRAT, ide o trójsky kôň so vzdialeným prístupom, ktorý útočníkom poskytuje neoprávnený vzdialený prístup k infikovaným systémom, čo im umožňuje nepozorovane vykonávať škodlivé aktivity.

Malvér PicassoLoader je nasadený ako súčasť viacstupňového infekčného reťazca

Útočníci, ktorí stoja za programom PicassoLoader, využili na vykonávanie svojich škodlivých aktivít viacstupňový infekčný reťazec. Počiatočná fáza zahŕňala použitie kompromitovaných dokumentov balíka Microsoft Office, pričom najčastejšie sa používali formáty súborov Microsoft Excel a PowerPoint. Tieto dokumenty slúžia ako východiskový bod pre útok.

Po dokumentoch balíka Office je spustiteľný downloader a užitočné zaťaženie skryté v súbore obrázka. Táto taktika bola pravdepodobne použitá na to, aby bola detekcia sťahovača a užitočného zaťaženia pre bezpečnostné systémy náročnejšia. Útočníci sa skrytím v súbore s obrázkom snažia obísť bezpečnostné opatrenia a zvýšiť šance na úspešnú infiltráciu.

Niektoré z týchto útokov sa pripisujú aktérovi hrozby známemu ako GhostWriter, ktorý je tiež sledovaný ako UAC-0057 alebo UNC1151. Motivácia a ciele GhostWriter sa považujú za v súlade so záujmami bieloruskej vlády.

Boli pozorované početné cielené útoky proti Ukrajine

Stojí za zmienku, že podskupinu týchto útokov už za posledný rok zdokumentoval ukrajinský tím CERT-UA (Computer Emergency Response Team). Jeden pozoruhodný príklad sa vyskytol v júli 2022, keď sa na doručenie malvéru Agent Tesla použili makro-naložené dokumenty PowerPoint. Tento incident zdôraznil použitie makier ako prostriedku na distribúciu škodlivého softvéru a kompromitáciu systémov obetí.

Infekčné reťazce používané pri týchto útokoch sa spoliehajú na metódy sociálneho inžinierstva, aby presvedčili obete, aby povolili makrá v dokumentoch balíka Office. Po povolení makier sa spustí makro VBA, čo povedie k nasadeniu hrozby pre sťahovanie súborov DLL PicassoLoader. Tento downloader potom nadviaže spojenie so stránkou ovládanou útočníkmi, aby získal užitočné zaťaženie ďalšej fázy, ktoré je vložené do zdanlivo legitímneho súboru obrázka. Konečný malvér je skrytý v tomto súbore obrázka.

Tieto nedávne odhalenia CERT-UA sa zhodujú s ich správami o niekoľkých phishingových operáciách distribuujúcich malvér SmokeLoader. Okrem toho bol identifikovaný smishingový útok zameraný na používateľov telegramu s cieľom získať neoprávnenú kontrolu nad ich účtami.

GhostWriter je len jednou zo skupín zameraných na počítačovú kriminalitu na Ukrajinu

Ukrajina sa stala cieľom viacerých aktérov hroziacich, vrátane notoricky známej ruskej národnej skupiny APT28 . Bolo pozorované, že APT28 používa taktiku odosielania phishingových e-mailov s prílohami HTML, čím oklame príjemcov, aby uverili, že v ich UKR.NET a Yahoo! účtov. E-maily vyzývajú používateľov, aby zmenili svoje heslá, ale namiesto toho ich vedú na falošné vstupné stránky určené na zhromažďovanie ich prihlasovacích údajov.

Tento nedávny vývoj je súčasťou širšieho modelu pozorovaného v činnosti hackerov spojených s ruskou vojenskou rozviedkou (GRU). Pri svojich rušivých operáciách proti Ukrajine prijali „štandardnú päťfázovú príručku“, čím demonštrujú zámernú snahu zvýšiť rýchlosť, rozsah a intenzitu svojich útokov.