Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware PowerModul Implant

PowerModul Implant

Nga MezoMalware, Dyer të pasme
Përkthe në:
Shqip

Aktori i kërcënimit i njohur si Paper Werewolf - i referuar gjithashtu si GOFFEE - ka synuar ekskluzivisht organizatat ruse duke përdorur një implant të ri të quajtur PowerModul. Midis korrikut dhe dhjetorit 2024, sulmet e tyre u ulën në industritë kryesore, duke përfshirë masmedian, telekomunikacionin, ndërtimin, entitetet qeveritare dhe sektorin e energjisë.

Një kundërshtar i vazhdueshëm: Fushata që nga viti 2022

Ujku i letrës ka kryer të paktën shtatë fushata që nga viti 2022. Fokusi i vazhdueshëm i grupit ka qenë në objektiva me vlerë të lartë brenda sektorëve të qeverisë, energjisë, financiare dhe medias.

Më shumë se spiunazh: kthesa shkatërruese në zinxhirët e sulmit

Operacionet e Paper Werewolf shkojnë përtej spiunazhit tradicional kibernetik. Zinxhirët e tyre të sulmit janë vërejtur duke përfshirë komponentë përçarës, të tillë si ndryshimi i fjalëkalimeve të llogarisë së punonjësve, duke treguar një qëllim për të dëmtuar operacionet dhe jo vetëm për të vjedhur të dhëna.

Pika e hyrjes: joshjet e phishing dhe PowerRAT

Sulmet zakonisht fillojnë me email phishing që përmbajnë dokumente me makro. Pasi viktima të hyjë në skedar dhe të aktivizojë makrot, vendoset një Trojan i qasjes në distancë i bazuar në PowerShell i njohur si PowerRAT . Ky malware krijon skenën për ngarkesa më të avancuara.

Arsenal Malware i personalizuar: PowerTaskel, QwakMyAgent dhe Owowa

Ngarkesat e fazës tjetër përfshijnë shpesh PowerTaskel dhe QwakMyAgent, versione të personalizuara të agjentëve të bazuar në kornizën Mythic. Një mjet tjetër, Owowa, një modul me qëllim të keq IIS, përdoret për të vjedhur kredencialet e Microsoft Outlook të futura përmes klientëve të internetit.

Taktikë e re e infeksionit: Ekzekutues të maskuar në arkivat RAR

Vala e fundit e sulmeve përmban një arkiv me qëllim të keq RAR që përmban një të ekzekutueshëm të maskuar si një dokument PDF ose Word duke përdorur shtesa të dyfishta (p.sh. *.pdf.exe). Pas ekzekutimit, një dokument mashtrimi i shfaqet përdoruesit ndërsa sistemi është i infektuar në heshtje në sfond.

Ekzekutuesi është në fakt një skedar i sistemit të Windows (si explorer.exe), i ngulitur me shellcode me qëllim të keq që përmban një agjent të turbullt Mythic, i cili lidhet me serverin C2 për udhëzime të mëtejshme.

Rruga alternative e sulmit: PowerModul merr skenën qendrore

Në një metodë alternative, Paper Werewolf përdor një arkiv RAR me një dokument Office makro-lidhur që vepron si pikatore për PowerModul. Ky skrip PowerShell mund të ekzekutojë skripte shtesë nga serveri C2, duke e bërë atë një derë të pasme të gjithanshme.

Parada e ngarkesës: Një mjet për spiunazhin dhe infeksionin

PowerModul është përdorur që nga fillimi i vitit 2024, kryesisht për të shkarkuar dhe ekzekutuar PowerTaskel. Ngarkesa të tjera të dukshme përfshijnë:

  • FlashFileGrabber : Vjedh skedarët nga disqet flash dhe i nxjerr ato.
  • FlashFileGrabberOffline : Kërkon skedarë me shtesa specifike në media flash dhe i ruan ato në nivel lokal për t'i ekfiltruar më vonë.
  • USB Worm : Infekton disqet flash me një kopje të PowerModul për të përhapur më tej malware.

Aftësitë e PowerTaskel: Më shumë se vetëm ekzekutimi i skriptit

Ndërsa i ngjashëm me PowerModul, PowerTaskel është më i aftë. Ai dërgon një mesazh 'checkin' me informacionin e sistemit, ekzekuton komanda nga serveri C2 dhe mund të përshkallëzojë privilegjet duke përdorur PsExec. Në një rast, u pa duke ekzekutuar një skript FolderFileGrabber që mbledh skedarë nga sistemet e largëta duke përdorur shtigje të rrjetit SMB të koduara.

Evolucioni në taktika: Largimi nga PowerTaskel

Për herë të parë, Paper Werewolf ka përdorur dokumente mashtruese Word me skriptet VBA për akses fillestar. Gjetjet e fundit tregojnë gjithashtu një ndryshim taktik, me grupin duke u larguar nga PowerTaskel dhe duke u mbështetur gjithnjë e më shumë në agjentët Binar Mythic për lëvizje anësore brenda rrjeteve të synuara.

Mendimet përfundimtare: Një kërcënim në rritje me teknika në zhvillim

Ujku i letrës vazhdon të përsosë teknikat e tij dhe të zgjerojë arsenalin e tij. Fokusi ekskluziv në entitetet ruse, i kombinuar me aftësitë përçarëse dhe një strategji infeksioni në zhvillim, e bën atë një kërcënim kibernetik serioz dhe të vazhdueshëm në horizont.

Në trend

Chase - Transferimi po përpunohet dhe do të zbritet...

Fishing, Spam
Interneti është i mbushur me mundësi dhe komoditete, por është gjithashtu një terren pjellor për kërcënimet kibernetike. Mashtruesit krijojnë vazhdimisht mënyra të reja për të mashtruar përdoruesit, për të vjedhur të dhëna të ndjeshme dhe për të shfrytëzuar llogaritë financiare. Një skemë e tillë është mashtrimi me email "Ndjek - Transferimi po përpunohet dhe do të zbritet", i cili pre mbi...

Më e shikuara

Po ngarkohet...