PicassoLoader Malware
Стручњаци Инфосец-а су идентификовали низ кампања сајбер напада на мете у Украјини и Пољској. Сајбер криминалци су фокусирани на компромитовање државних органа, војних организација и цивилних корисника. Ове кампање имају за циљ да незаконито прибаве осетљиве податке и успоставе континуирани даљински приступ компромитованим системима.
У периоду од априла 2022. до јула 2023., ова кампања упада користи различите тактике. Мамци за крађу идентитета и документи за мамце се користе да би се жртве преваре и олакшало постављање малвера за преузимање познатог као ПицассоЛоадер. Овај претећи софтвер служи као капија за покретање других небезбедних алата, посебно Цобалт Стрике Беацон и њРАТ .
Мамци за крађу идентитета су обмањујуће технике које се користе да се појединци преваре да открију осетљиве информације, као што су корисничка имена, лозинке или акредитиви налога. Документи-мамци су прикривени фајлови који су дизајнирани да изгледају легитимно, али заправо садрже небезбедни корисни терет. Привлачећи жртве да ступе у интеракцију са овим лажним документима, нападачи могу да изврше програм за преузимање ПицассоЛоадер на својим системима.
Када се ПицассоЛоадер успешно примени, он служи као канал за следећу фазу напада. Омогућава инсталацију и извршавање два додатна типа малвера: Цобалт Стрике Беацон и њРАТ. Цобалт Стрике Беацон је софистицирани алат за тестирање пенетрације који омогућава нападачима да добију неовлашћени приступ и контролу над компромитованим системима. Што се тиче њРАТ, то је тројанац за даљински приступ који нападачима омогућава неовлашћени даљински приступ зараженим системима, омогућавајући им да неоткривено врше злонамерне активности.
Преглед садржаја
ПицассоЛоадер злонамерни софтвер је распоређен као део вишестепеног ланца инфекције
Нападачи који стоје иза ПицассоЛоадер-а користили су вишестепени ланац инфекције да би извршили своје штетне активности. Почетна фаза је укључивала коришћење компромитованих Мицрософт Оффице докумената, при чему су најчешће коришћени формати датотека Мицрософт Екцел и ПоверПоинт. Ови документи служе као полазна тачка за напад.
Пратећи Оффице документе, извршни програм за преузимање и корисни садржај сакривени су у датотеци слике. Ова тактика је вероватно коришћена да би откривање преузимача и корисног оптерећења учинила изазовнијим за безбедносне системе. Сакривањем унутар датотеке слике, нападачи имају за циљ да заобиђу сигурносне мере и повећају шансе за успешну инфилтрацију.
Неки од ових напада приписани су претњи познатом као ГхостВритер, такође праћеном као УАЦ-0057 или УНЦ1151. Верује се да су мотивације и циљеви ГхостВритера у складу са интересима белоруске владе.
Запажени су бројни циљани напади на Украјину
Вреди напоменути да је подскуп ових напада већ био документован током протекле године од стране украјинског тима за реаговање на рачунарске хитне случајеве (ЦЕРТ-УА). Један значајан пример десио се у јулу 2022. године, када су ПоверПоинт документи напуњени макроима коришћени за испоруку малвера Агент Тесла . Овај инцидент је истакао употребу макроа као средства за дистрибуцију злонамерног софтвера и компромитовање система жртава.
Ланци инфекције који се користе у овим нападима ослањају се на методе друштвеног инжењеринга како би убедили жртве да омогуће макрое у документима Канцеларије. Једном када су макрои омогућени, покреће се ВБА макро, што доводи до примене ПицассоЛоадер ДЛЛ претње за преузимање. Овај програм за преузимање затим успоставља везу са сајтом који контролишу нападачи да би преузео корисни терет следеће фазе, који је уграђен у наизглед легитимну датотеку слике. Последњи злонамерни софтвер сакривен је у овој датотеци слике.
Ова недавна открића ЦЕРТ-УА поклапају се са њиховим извештавањем о неколико пхисхинг операција које дистрибуирају СмокеЛоадер малвер. Поред тога, идентификован је нападни напад који је циљао кориснике Телеграма са циљем стицања неовлашћене контроле над њиховим налозима.
ГхостВритер је само једна од група за кибернетички криминал које циљају Украјину
Украјина је постала мета више актера претњи, укључујући озлоглашену руску националну државну групу АПТ28 . Примећено је да АПТ28 користи тактику слања е-поште са пхисхинг-ом са ХТМЛ прилозима, наводећи примаоце да поверују да постоји сумњива активност у њиховим УКР.НЕТ и Иахоо! рачуни. Е-поруке подстичу кориснике да промене своје лозинке, али их уместо тога воде до лажних одредишних страница дизајнираних да прикупе њихове акредитиве за пријаву.
Овај недавни развој догађаја је део ширег обрасца који се примећује у активностима хакера повезаних са руском војном обавештајном службом (ГРУ). Они су усвојили 'стандардни петофазни план' у својим реметилачким операцијама против Украјине, демонстрирајући намеран напор да повећају брзину, обим и интензитет својих напада.
