Malware PicassoLoader
Ekspertët e Infosec kanë identifikuar një sërë fushatash sulmesh kibernetike kundër objektivave në Ukrainë dhe Poloni. Kriminelët kibernetikë janë të fokusuar në komprometimin e entiteteve qeveritare, organizatave ushtarake dhe përdoruesve civilë. Këto fushata synojnë të marrin në mënyrë të paligjshme të dhëna të ndjeshme dhe të krijojnë qasje të vazhdueshme në distancë në sistemet e komprometuara.
Duke shtrirë një periudhë nga prilli 2022 deri në korrik 2023, kjo fushatë ndërhyrjeje përdor taktika të ndryshme. Joshjet e phishing dhe dokumentet e mashtrimit përdoren për të mashtruar viktimat dhe për të lehtësuar vendosjen e një malware shkarkues të njohur si PicassoLoader. Ky softuer kërcënues shërben si një portë për të nisur mjete të tjera të pasigurta, veçanërisht Cobalt Strike Beacon dhe njRAT .
Joshjet e phishing janë teknika mashtruese që përdoren për të mashtruar individët që të zbulojnë informacione të ndjeshme, të tilla si emrat e përdoruesve, fjalëkalimet ose kredencialet e llogarisë. Dokumentet Decoy janë skedarë të maskuar të krijuar për t'u dukur legjitime, por në fakt përmbajnë ngarkesa të pasigurta. Duke i joshur viktimat që të ndërveprojnë me këto dokumente mashtrimi, sulmuesit mund të ekzekutojnë shkarkuesin PicassoLoader në sistemet e tyre.
Pasi PicassoLoader vendoset me sukses, ai shërben si një kanal për fazën tjetër të sulmit. Ai mundëson instalimin dhe ekzekutimin e dy llojeve shtesë të malware: Cobalt Strike Beacon dhe njRAT. Cobalt Strike Beacon është një mjet i sofistikuar i testimit të penetrimit që lejon sulmuesit të kenë akses dhe kontroll të paautorizuar mbi sistemet e komprometuara. Sa i përket njRAT, është një trojan me qasje në distancë që u siguron sulmuesve akses të paautorizuar në distancë në sistemet e infektuara, duke i lejuar ata të kryejnë aktivitete me qëllim të keq të pazbuluar.
Tabela e Përmbajtjes
Malware PicassoLoader është vendosur si pjesë e një zinxhiri infeksioni me shumë faza
Sulmuesit pas PicassoLoader përdorën një zinxhir infeksioni me shumë faza për të kryer aktivitetet e tyre të dëmshme. Faza fillestare përfshinte përdorimin e dokumenteve të komprometuara të Microsoft Office, me formatet e skedarëve Microsoft Excel dhe PowerPoint që përdoren më së shpeshti. Këto dokumente shërbejnë si pikënisje për sulmin.
Pas dokumenteve të Office, një shkarkues i ekzekutueshëm dhe ngarkesa e dobishme fshihen brenda një skedari imazhi. Kjo taktikë ka të ngjarë të përdoret për ta bërë më sfidues për sistemet e sigurisë zbulimin e shkarkuesit dhe ngarkesës. Duke u fshehur brenda një skedari imazhi, sulmuesit synojnë të anashkalojnë masat e sigurisë dhe të rrisin shanset për infiltrim të suksesshëm.
Disa nga këto sulme i janë atribuar një aktori kërcënimi të njohur si GhostWriter, i gjurmuar gjithashtu si UAC-0057 ose UNC1151. Motivimet dhe objektivat e GhostWriter besohet se përputhen me interesat e qeverisë bjelloruse.
Janë vërejtur sulme të shumta të synuara kundër Ukrainës
Vlen të përmendet se një nëngrup i këtyre sulmeve ishte dokumentuar tashmë gjatë vitit të kaluar nga Ekipi i Ukrainas për Reagimin e Emergjencave Kompjuterike (CERT-UA). Një shembull i dukshëm ndodhi në korrik 2022, ku dokumentet e PowerPoint të ngarkuara me makro u përdorën për të ofruar malware-in Agent Tesla . Ky incident theksoi përdorimin e makrove si një mjet për të shpërndarë malware dhe për të komprometuar sistemet e viktimave.
Zinxhirët e infeksionit të përdorur në këto sulme mbështeten në metodat e inxhinierisë sociale për të bindur viktimat që të mundësojnë makro brenda dokumenteve të Zyrës. Pasi të aktivizohen makrot, aktivizohet një makro VBA, duke çuar në vendosjen e kërcënimit të shkarkimit të PicassoLoader DLL. Ky shkarkues më pas krijon një lidhje me një sajt të kontrolluar nga sulmuesit për të tërhequr ngarkesën e fazës tjetër, e cila është e ngulitur brenda një skedari imazhi në dukje legjitim. Malware përfundimtar është fshehur brenda këtij skedari imazhi.
Këto zbulime të fundit nga CERT-UA përkojnë me raportimin e tyre mbi disa operacione phishing që shpërndajnë malware-in SmokeLoader. Për më tepër, u identifikua një sulm goditës, i cili synonte përdoruesit e Telegram-it me qëllim që të fitonin kontroll të paautorizuar mbi llogaritë e tyre.
GhostWriter është vetëm një nga grupet e krimit kibernetik që synon Ukrainën
Ukraina është bërë një objektiv i shumë aktorëve të kërcënimit, duke përfshirë grupin famëkeq të shtetit kombëtar rus APT28 . APT28 është vërejtur duke përdorur një taktikë të dërgimit të emaileve phishing me bashkëngjitje HTML, duke i mashtruar marrësit që të besojnë se ka aktivitet të dyshimtë në UKR.NET dhe Yahoo! llogaritë. Emailet i nxisin përdoruesit të ndryshojnë fjalëkalimet e tyre, por në vend të kësaj, i çojnë ata në faqet e rreme të uljes të krijuara për të mbledhur kredencialet e tyre të hyrjes.
Ky zhvillim i fundit është pjesë e një modeli më të gjerë të vërejtur në aktivitetet e hakerëve të lidhur me inteligjencën ushtarake ruse (GRU). Ata kanë miratuar një 'libër standard pesëfazor' në operacionet e tyre përçarëse kundër Ukrainës, duke demonstruar një përpjekje të qëllimshme për të rritur shpejtësinë, shkallën dhe intensitetin e sulmeve të tyre.
