PowerModul Implant
Глумац претњи познат као Папирни вукодлак — који се такође назива ГОФФЕЕ — искључиво је циљао руске организације користећи нови имплант назван ПоверМодул. Између јула и децембра 2024., њихови напади су били усмерени на кључне индустрије, укључујући масовне медије, телекомуникације, грађевинарство, владине субјекте и енергетски сектор.
Преглед садржаја
Упорни противник: кампање од 2022
Папирни вукодлак је спровео најмање седам кампања од 2022. године. Конзистентан фокус групе је био на високо вредним циљевима у владином, енергетском, финансијском и медијском сектору.
Више од шпијунаже: деструктивни обрти у ланцима напада
Операције папирног вукодлака превазилазе традиционалну сајбер шпијунажу. Примећено је да њихови ланци напада укључују компоненте које ометају, као што је промена лозинки налога запослених, што указује на намеру да се онеспособе операције, а не само да се украду подаци.
Улазна тачка: мамци за пхисхинг и ПоверРАТ
Напади обично почињу са пхисхинг порукама е-поште које садрже документе са макроом. Када жртва приступи датотеци и омогући макрое, примењује се тројанац за даљински приступ заснован на ПоверСхелл-у познат као ПоверРАТ . Овај злонамерни софтвер поставља сцену за напредније корисне садржаје.
Прилагођени арсенал злонамерног софтвера: ПоверТаскел, КвакМиАгент и Овова
Корисно оптерећење следеће фазе често укључује ПоверТаскел и КвакМиАгент, прилагођене верзије агената засноване на Митхиц оквиру. Друга алатка, Овова, злонамерни ИИС модул, користи се за крађу Мицрософт Оутлоок акредитива унетих преко веб клијената.
Нова тактика заразе: прикривени извршни фајлови у РАР архивама
Последњи талас напада садржи злонамерну РАР архиву која садржи извршну датотеку прерушену у ПДФ или Ворд документ користећи двоструке екстензије (нпр. *.пдф.еке). Након извршења, кориснику се приказује лажни документ док је систем тихо инфициран у позадини.
Извршни фајл је заправо закрпљена Виндовс системска датотека (као екплорер.еке), уграђена са злонамерним схелл кодом који садржи замагљени Митхиц агент, који се повезује са Ц2 сервером за даља упутства.
Алтернативни пут напада: ПоверМодул заузима централно место
У алтернативној методи, Папирни вукодлак користи РАР архиву са Оффице документом са макро чиповима који делује као капалица за ПоверМодул. Ова ПоверСхелл скрипта може да изврши додатне скрипте са Ц2 сервера, што га чини разноврсним бацкдоор-ом.
Парада терета: Комплет алата за шпијунажу и заразу
ПоверМодул се користи од почетка 2024. године, првенствено за преузимање и покретање ПоверТаскела. Остали значајни носиоци укључују:
- ФласхФилеГраббер : Краде датотеке са флеш дискова и ексфилтрира их.
- ФласхФилеГрабберОффлине : Претражује датотеке са одређеним екстензијама на флеш медијима и чува их локално за каснију ексфилтрацију.
- УСБ црв : Инфицира флеш дискове копијом ПоверМодула да би даље ширио малвер.
Могућности ПоверТаскела: Више од самог извршавања скрипте
Иако је сличан ПоверМодулу, ПоверТаскел је способнији. Шаље поруку 'чекирања' са системским информацијама, покреће команде са Ц2 сервера и може да ескалира привилегије користећи ПсЕкец. У једном случају, примећено је извршавање скрипте ФолдерФилеГраббер која прикупља датотеке са удаљених система користећи тврдо кодиране СМБ мрежне путање.
Еволуција у тактици: Удаљавање од ПоверТаскела
По први пут, Папирни вукодлак је користио лажне Ворд документе са ВБА скриптама за почетни приступ. Недавни налази такође указују на тактичку промену, при чему се група удаљава од ПоверТаскела и све више се ослања на бинарне митске агенте за бочно кретање унутар циљаних мрежа.
Завршне мисли: растућа претња са техникама које се развијају
Папирни вукодлак наставља да усавршава своје технике и шири свој арсенал. Ексклузивни фокус на руске ентитете, у комбинацији са реметилачким способностима и развојном стратегијом заразе, чини је озбиљном и упорном сајбер претњом на хоризонту.
