PicassoLoader Malware
Infosec-experter har identifierat en rad cyberattackkampanjer mot mål i Ukraina och Polen. Cyberkriminella är fokuserade på att kompromissa med statliga enheter, militära organisationer och civila användare. Dessa kampanjer syftar till att olagligt skaffa känslig information och skapa kontinuerlig fjärråtkomst till de komprometterade systemen.
Denna intrångskampanj sträcker sig över en period från april 2022 till juli 2023 och använder olika taktiker. Nätfiskebeten och lockdokument används för att lura offer och underlätta distributionen av en skadlig programvara för nedladdning som kallas PicassoLoader. Denna hotfulla programvara fungerar som en inkörsport för att lansera andra osäkra verktyg, särskilt Cobalt Strike Beacon och njRAT .
Nätfiskebeten är vilseledande tekniker som används för att lura individer att avslöja känslig information, såsom användarnamn, lösenord eller kontouppgifter. Lockdokument är förklädda filer utformade för att verka legitima men faktiskt innehålla osäkra nyttolaster. Genom att locka offer att interagera med dessa lockbetedokument kan angriparna köra nedladdningsprogrammet PicassoLoader på sina system.
När PicassoLoader väl har implementerats fungerar den som en kanal för nästa steg av attacken. Det möjliggör installation och exekvering av ytterligare två typer av skadlig programvara: Cobalt Strike Beacon och njRAT. Cobalt Strike Beacon är ett sofistikerat penetrationstestverktyg som tillåter angripare att få obehörig åtkomst och kontroll över komprometterade system. När det gäller njRAT är det en trojan för fjärråtkomst som ger angriparna obehörig fjärråtkomst till de infekterade systemen, vilket gör att de kan utföra skadliga aktiviteter oupptäckta.
Innehållsförteckning
PicassoLoader Malware distribueras som en del av en flerstegsinfektionskedja
Angriparna bakom PicassoLoader använde en flerstegsinfektionskedja för att utföra sina skadliga aktiviteter. Det inledande skedet innebar användningen av komprometterade Microsoft Office-dokument, med filformaten Microsoft Excel och PowerPoint som de vanligaste. Dessa dokument tjänar som startpunkten för attacken.
Efter Office-dokumenten döljs en körbar nedladdning och nyttolast i en bildfil. Denna taktik användes sannolikt för att göra upptäckten av nedladdaren och nyttolasten mer utmanande för säkerhetssystem. Genom att gömma sig i en bildfil siktar angriparna på att kringgå säkerhetsåtgärder och öka chanserna för framgångsrik infiltration.
Några av dessa attacker har tillskrivits en hotaktör känd som GhostWriter, även spårad som UAC-0057 eller UNC1151. Motiven och målen för GhostWriter tros vara i linje med den vitryska regeringens intressen.
Många riktade attacker mot Ukraina har observerats
Det är värt att nämna att en delmängd av dessa attacker redan hade dokumenterats under det senaste året av Ukrainas Computer Emergency Response Team (CERT-UA). Ett anmärkningsvärt exempel inträffade i juli 2022, där makroladdade PowerPoint-dokument användes för att leverera Agent Teslas skadliga program. Denna incident visade på användningen av makron som ett sätt att distribuera skadlig programvara och äventyra offrens system.
De infektionskedjor som används i dessa attacker är beroende av sociala ingenjörsmetoder för att övertyga offren att aktivera makron i Office-dokumenten. När makron väl har aktiverats utlöses ett VBA-makro, vilket leder till att hotet för nedladdning av PicassoLoader DLL-filen distribueras. Den här nedladdaren upprättar sedan en anslutning till en webbplats som kontrolleras av angriparna för att hämta nyttolasten i nästa steg, som är inbäddad i en till synes legitim bildfil. Den sista skadliga programvaran döljs i denna bildfil.
Dessa senaste avslöjanden från CERT-UA sammanfaller med deras rapportering om flera nätfiskeoperationer som distribuerar SmokeLoader skadlig programvara. Dessutom identifierades en smishing attack, riktad mot Telegram-användare med målet att få obehörig kontroll över deras konton.
GhostWriter är bara en av cyberbrottsgrupperna som riktar sig till Ukraina
Ukraina har blivit ett mål för flera hotaktörer, inklusive den ökända ryska nationalstatsgruppen APT28 . APT28 har observerats använda en taktik för att skicka nätfiske-e-postmeddelanden med HTML-bilagor, lura mottagare att tro att det finns misstänkt aktivitet i deras UKR.NET och Yahoo! konton. E-postmeddelandena uppmanar användare att ändra sina lösenord men leder dem istället till falska målsidor som är utformade för att samla in sina inloggningsuppgifter.
Denna senaste utveckling är en del av ett bredare mönster som observerats i verksamheten för hackare som är associerade med rysk militär underrättelsetjänst (GRU). De har antagit en "standard fem-fas spelbok" i sina störande operationer mot Ukraina, vilket visar ett medvetet försök att öka hastigheten, omfattningen och intensiteten i deras attacker.
