Vsadek PowerModul
Grožnja, znana kot Paper Werewolf – imenovana tudi GOFFEE – je izključno ciljala na ruske organizacije z uporabo novega vsadka, imenovanega PowerModul. Med julijem in decembrom 2024 so se njihovi napadi osredotočili na ključne industrije, vključno z množičnimi mediji, telekomunikacijami, gradbeništvom, vladnimi subjekti in energetskim sektorjem.
Kazalo
Vztrajni nasprotnik: kampanje od leta 2022
Papirni volkodlak je od leta 2022 izvedel najmanj sedem kampanj. Skupina se je dosledno osredotočala na cilje visoke vrednosti v vladnem, energetskem, finančnem in medijskem sektorju.
Več kot vohunjenje: uničujoči zasuki v verigah napadov
Operacije Paper Werewolf presegajo tradicionalno kibernetsko vohunjenje. Opazili so, da njihove verige napadov vključujejo moteče komponente, kot je spreminjanje gesel za račune zaposlenih, kar kaže na namen onemogočiti delovanje in ne le ukrasti podatkov.
Vstopna točka: Lažne vabe in PowerRAT
Napadi se običajno začnejo z lažnim e-poštnim sporočilom, ki vsebuje dokumente z makro elementi. Ko žrtev dostopa do datoteke in omogoči makre, se namesti trojanec za oddaljeni dostop, ki temelji na PowerShell, znan kot PowerRAT . Ta zlonamerna programska oprema postavlja temelje za naprednejše koristne obremenitve.
Arzenal zlonamerne programske opreme po meri: PowerTaskel, QwakMyAgent in Owowa
Obremenitve naslednje stopnje pogosto vključujejo PowerTaskel in QwakMyAgent, različici agentov po meri, ki temeljijo na ogrodju Mythic. Drugo orodje, Owowa, zlonamerni modul IIS, se uporablja za krajo poverilnic Microsoft Outlook, vnesenih prek spletnih odjemalcev.
Nova taktika okužbe: prikrite izvršljive datoteke v arhivih RAR
Najnovejši val napadov vključuje zlonamerni arhiv RAR, ki vsebuje izvršljivo datoteko, prikrito kot dokument PDF ali Word z dvojnimi končnicami (npr. *.pdf.exe). Po izvedbi se uporabniku prikaže vabni dokument, medtem ko je sistem v ozadju tiho okužen.
Izvršljiva datoteka je pravzaprav popravljena sistemska datoteka Windows (kot explorer.exe), vdelana z zlonamerno lupinsko kodo, ki vsebuje zakritega agenta Mythic, ki se poveže s strežnikom C2 za nadaljnja navodila.
Alternativna pot napada: PowerModul je v središču pozornosti
Pri alternativni metodi Paper Werewolf uporablja arhiv RAR z dokumentom Office z makro elementi, ki deluje kot kapalka za PowerModul. Ta skript PowerShell lahko izvaja dodatne skripte s strežnika C2, zaradi česar je vsestranska stranska vrata.
Payload Parade: Komplet orodij za vohunjenje in okužbo
PowerModul se uporablja od začetka leta 2024, predvsem za prenos in zagon programa PowerTaskel. Druge pomembne koristne obremenitve vključujejo:
- FlashFileGrabber : Ukrade datoteke z bliskovnih pogonov in jih odstrani.
- FlashFileGrabberOffline : Išče datoteke z določenimi končnicami na bliskovnem mediju in jih lokalno shrani za kasnejšo filtriranje.
- Črv USB : okuži bliskovne pogone s kopijo programa PowerModul za nadaljnje širjenje zlonamerne programske opreme.
Zmogljivosti PowerTaskela: več kot le izvajanje skripta
Čeprav je PowerTaskel podoben PowerModulu, je zmogljivejši. Pošlje sporočilo 'checkin' s sistemskimi informacijami, izvaja ukaze s strežnika C2 in lahko stopnjuje privilegije s pomočjo PsExec. V enem primeru je bilo opaženo izvajanje skripta FolderFileGrabber, ki zbira datoteke iz oddaljenih sistemov z uporabo trdo kodiranih omrežnih poti SMB.
Evolucija v taktiki: odmik od PowerTaskela
Paper Werewolf je prvič uporabil lažne Wordove dokumente s skripti VBA za začetni dostop. Nedavne ugotovitve kažejo tudi na taktični premik, pri čemer se skupina odmika od PowerTaskela in se vedno bolj zanaša na binarne mitske agente za stransko gibanje znotraj ciljnih omrežij.
Končne misli: Rastoča grožnja z razvijajočimi se tehnikami
Paper Werewolf še naprej izpopolnjuje svoje tehnike in širi svoj arzenal. Zaradi izključne osredotočenosti na ruske entitete, v kombinaciji z motečimi zmogljivostmi in razvijajočo se strategijo okužbe, je resna in vztrajna kibernetska grožnja na obzorju.
