Zlonamerna programska oprema PicassoLoader
Strokovnjaki Infosec so identificirali vrsto kampanj kibernetskih napadov na cilje v Ukrajini in na Poljskem. Kibernetski kriminalci so osredotočeni na ogrožanje vladnih subjektov, vojaških organizacij in civilnih uporabnikov. Cilj teh kampanj je nezakonito pridobivanje občutljivih podatkov in vzpostavitev stalnega oddaljenega dostopa do ogroženih sistemov.
Ta vdorna kampanja zajema obdobje od aprila 2022 do julija 2023 in uporablja različne taktike. Vabe za lažno predstavljanje in lažni dokumenti se uporabljajo za zavajanje žrtev in olajšanje uvedbe zlonamerne programske opreme za prenos, znane kot PicassoLoader. Ta nevarna programska oprema služi kot prehod za zagon drugih nevarnih orodij, zlasti Cobalt Strike Beacon in njRAT .
Vabe za lažno predstavljanje so zavajajoče tehnike, ki se uporabljajo za pretentanje posameznikov v razkritje občutljivih informacij, kot so uporabniška imena, gesla ali poverilnice računa. Dokumenti za vabo so prikrite datoteke, ki so oblikovane tako, da so videti legitimne, vendar dejansko vsebujejo nevarne tovore. S tem, ko napadalci napeljejo žrtve k interakciji s temi lažnimi dokumenti, lahko v svojih sistemih zaženejo program za prenos PicassoLoader.
Ko je PicassoLoader uspešno nameščen, služi kot kanal za naslednjo stopnjo napada. Omogoča namestitev in izvajanje dveh dodatnih vrst zlonamerne programske opreme: Cobalt Strike Beacon in njRAT. Cobalt Strike Beacon je sofisticirano orodje za testiranje penetracije, ki napadalcem omogoča pridobitev nepooblaščenega dostopa in nadzora nad ogroženimi sistemi. Kar zadeva njRAT, je to trojanski konj za oddaljeni dostop, ki napadalcem omogoča nepooblaščen oddaljeni dostop do okuženih sistemov, kar jim omogoča neopaženo izvajanje zlonamernih dejavnosti.
Kazalo
Zlonamerna programska oprema PicassoLoader je nameščena kot del večstopenjske verige okužb
Napadalci, ki stojijo za PicassoLoaderjem, so za izvajanje svojih škodljivih dejavnosti uporabili večstopenjsko verigo okužb. Začetna faza je vključevala uporabo ogroženih dokumentov Microsoft Office, pri čemer sta bila najpogosteje uporabljena formata datotek Microsoft Excel in PowerPoint. Ti dokumenti služijo kot izhodišče za napad.
Po Officeovih dokumentih sta v slikovni datoteki skrita izvršljiva programska oprema za prenos in koristni tovor. Ta taktika je bila verjetno uporabljena, da bi varnostnim sistemom otežila odkrivanje prenosnika in tovora. S skrivanjem v slikovni datoteki želijo napadalci zaobiti varnostne ukrepe in povečati možnosti za uspešno infiltracijo.
Nekateri od teh napadov so bili pripisani akterju grožnje, znanemu kot GhostWriter, ki se mu sledi tudi kot UAC-0057 ali UNC1151. Verjame se, da so motivacije in cilji GhostWriterja v skladu z interesi beloruske vlade.
Opaženi so bili številni ciljno usmerjeni napadi na Ukrajino
Treba je omeniti, da je podmnožico teh napadov v zadnjem letu že dokumentirala ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA). Eden pomembnih primerov se je zgodil julija 2022, ko so bili za dostavo zlonamerne programske opreme Agent Tesla uporabljeni dokumenti PowerPoint, obremenjeni z makroji. Ta incident je poudaril uporabo makrov kot sredstva za distribucijo zlonamerne programske opreme in ogrožanje sistemov žrtev.
Verige okužb, uporabljene v teh napadih, se zanašajo na metode socialnega inženiringa, da prepričajo žrtve, da omogočijo makre v Officeovih dokumentih. Ko so makri omogočeni, se sproži makro VBA, ki vodi do uvedbe grožnje PicassoLoader DLL downloader. Ta prenosnik nato vzpostavi povezavo s spletnim mestom, ki ga nadzirajo napadalci, da pridobi vsebino naslednje stopnje, ki je vdelana v navidezno legitimno slikovno datoteko. Končna zlonamerna programska oprema je skrita v tej slikovni datoteki.
Ta nedavna razkritja CERT-UA sovpadajo z njihovim poročanjem o več operacijah lažnega predstavljanja, ki distribuirajo zlonamerno programsko opremo SmokeLoader. Poleg tega je bil ugotovljen lažni napad, ki cilja na uporabnike Telegrama s ciljem pridobitve nepooblaščenega nadzora nad njihovimi računi.
GhostWriter je samo ena od skupin kibernetske kriminalitete, ki ciljajo na Ukrajino
Ukrajina je postala tarča številnih akterjev groženj, vključno z razvpito rusko skupino nacionalnih držav APT28 . Opaženo je bilo, da APT28 uporablja taktiko pošiljanja lažnih e-poštnih sporočil s prilogami HTML, s čimer prejemnike zavede, da verjamejo, da obstaja sumljiva dejavnost v njihovih UKR.NET in Yahoo! računi. E-poštna sporočila uporabnike pozivajo, naj spremenijo svoja gesla, vendar jih namesto tega vodijo do lažnih ciljnih strani, namenjenih zbiranju njihovih poverilnic za prijavo.
Ta nedavni razvoj je del širšega vzorca, opaženega v dejavnostih hekerjev, povezanih z rusko vojaško obveščevalno službo (GRU). V svojih motečih operacijah proti Ukrajini so sprejeli 'standardno shemo petih faz', s čimer dokazujejo namerno prizadevanje za povečanje hitrosti, obsega in intenzivnosti svojih napadov.
