Implantát PowerModul
Hrozbový aktér známy ako Paper Werewolf – tiež označovaný ako GOFFEE – sa zameriava výlučne na ruské organizácie pomocou nového implantátu s názvom PowerModul. Medzi júlom a decembrom 2024 sa ich útoky sústredili na kľúčové odvetvia vrátane masmédií, telekomunikácií, stavebníctva, vládnych subjektov a energetického sektora.
Obsah
Trvalý protivník: Kampane od roku 2022
The Paper Werewolf uskutočnil od roku 2022 najmenej sedem kampaní. Skupina sa neustále zameriava na ciele s vysokou hodnotou v rámci vládneho, energetického, finančného a mediálneho sektora.
Viac ako špionáž: Deštruktívne zvraty v útočných reťazcoch
Operácie Paper Werewolf presahujú tradičnú kybernetickú špionáž. Bolo pozorované, že ich reťazce útokov obsahujú rušivé komponenty, ako je zmena hesiel zamestnaneckých účtov, čo naznačuje zámer ochromiť operácie a nielen ukradnúť údaje.
Vstupný bod: Phishing Lures a PowerRAT
Útoky zvyčajne začínajú phishingovými e-mailami obsahujúcimi dokumenty s makroskopickými prvkami. Keď obeť pristúpi k súboru a povolí makrá, nasadí sa trójsky kôň na vzdialený prístup založený na PowerShell známy ako PowerRAT . Tento malvér pripravuje pôdu pre pokročilejšie užitočné zaťaženia.
Vlastný arzenál malvéru: PowerTaskel, QwakMyAgent a Owowa
Užitočné zaťaženia ďalšej fázy často zahŕňajú PowerTaskel a QwakMyAgent, vlastné verzie agentov založené na rámci Mythic. Ďalší nástroj, Owowa, škodlivý modul IIS, sa používa na ukradnutie poverení programu Microsoft Outlook zadaných prostredníctvom webových klientov.
Nová taktika infekcie: Skryté spustiteľné súbory v archívoch RAR
Najnovšia vlna útokov obsahuje škodlivý RAR archív obsahujúci spustiteľný súbor maskovaný ako dokument PDF alebo Word pomocou dvojitých prípon (napr. *.pdf.exe). Po spustení sa používateľovi zobrazí návnada, zatiaľ čo systém je ticho infikovaný na pozadí.
Spustiteľný súbor je v skutočnosti opravený systémový súbor Windows (napríklad explorer.exe), vložený so škodlivým kódom shellu obsahujúcim zahmleného agenta Mythic, ktorý sa pripája k serveru C2 pre ďalšie pokyny.
Alternatívna trasa útoku: PowerModul sa dostáva do centra
V alternatívnej metóde používa Paper Werewolf archív RAR s makrom upraveným dokumentom Office, ktorý funguje ako kvapkadlo pre PowerModul. Tento skript PowerShell môže spúšťať ďalšie skripty zo servera C2, čo z neho robí všestranné zadné vrátka.
Payload Parade: Sada nástrojov pre špionáž a infekciu
PowerModul sa používa od začiatku roku 2024, predovšetkým na stiahnutie a spustenie PowerTaskel. Medzi ďalšie pozoruhodné užitočné zaťaženia patria:
- FlashFileGrabber : Kradne súbory z flash diskov a exfiltruje ich.
- FlashFileGrabberOffline : Vyhľadáva súbory so špecifickými príponami na flash médiách a ukladá ich lokálne pre neskoršiu exfiltráciu.
- USB Worm : Infikuje flash disky kópiou PowerModulu, aby šíril malvér ďalej.
Možnosti programu PowerTaskel: Viac než len vykonávanie skriptov
Aj keď je podobný PowerModul, PowerTaskel je schopnejší. Posiela správu „checkin“ so systémovými informáciami, spúšťa príkazy zo servera C2 a môže eskalovať privilégiá pomocou PsExec. V jednom prípade bolo vidieť spustenie skriptu FolderFileGrabber, ktorý zhromažďuje súbory zo vzdialených systémov pomocou pevne zakódovaných sieťových ciest SMB.
Evolúcia v taktike: Odklon od PowerTaskelu
Papierový vlkodlak po prvýkrát použil na počiatočný prístup podvodné dokumenty Wordu so skriptami VBA. Nedávne zistenia tiež naznačujú taktický posun, keď sa skupina vzďaľuje od PowerTaskelu a čoraz viac sa spolieha na binárne mýtické agenty pre laterálny pohyb v rámci cielených sietí.
Záverečné myšlienky: Rastúca hrozba s vyvíjajúcimi sa technikami
Paper Werewolf pokračuje v zdokonaľovaní svojich techník a rozširovaní svojho arzenálu. Výhradné zameranie na ruské subjekty v kombinácii s rušivými schopnosťami a vyvíjajúcou sa infekčnou stratégiou z neho robí vážnu a pretrvávajúcu kybernetickú hrozbu na obzore.
