PowerModul implantat
Hotaktören känd som Paper Werewolf – även kallad GOFFEE – har uteslutande riktat in sig på ryska organisationer som använder ett nytt implantat som heter PowerModul. Mellan juli och december 2024 nollställdes deras attacker mot nyckelindustrier, inklusive massmedia, telekommunikation, byggverksamhet, statliga enheter och energisektorn.
Innehållsförteckning
A Persistent Adversary: Kampanjer sedan 2022
The Paper Werewolf har genomfört minst sju kampanjer sedan 2022. Gruppens konsekventa fokus har varit på värdefulla mål inom regerings-, energi-, finans- och mediasektorerna.
Mer än spionage: Destructive Twists in Attack Chains
Paper Werewolfs verksamhet går utöver traditionellt cyberspionage. Deras attackkedjor har observerats innehållande störande komponenter, som att byta lösenord för anställdas konton, vilket indikerar en avsikt att lamslå operationer och inte bara stjäla data.
Entry Point: Phishing Lures och PowerRAT
Attackerna börjar vanligtvis med nätfiske-e-postmeddelanden som innehåller makrospetsade dokument. När offret kommer åt filen och aktiverar makron, distribueras en PowerShell-baserad fjärråtkomsttrojan känd som PowerRAT . Denna skadliga programvara sätter scenen för mer avancerade nyttolaster.
Custom Malware Arsenal: PowerTaskel, QwakMyAgent och Owowa
Nyttolasterna i nästa steg inkluderar ofta PowerTaskel och QwakMyAgent, anpassade versioner av agenter baserade på Mythic-ramverket. Ett annat verktyg, Owowa, en skadlig IIS-modul, används för att stjäla Microsoft Outlook-referenser som angetts via webbklienter.
Ny infektionstaktik: Förklädda körbara filer i RAR-arkiv
Den senaste vågen av attacker innehåller ett skadligt RAR-arkiv som innehåller en körbar fil förklädd som ett PDF- eller Word-dokument med dubbla tillägg (t.ex. *.pdf.exe). Vid exekvering visas ett lockbetedokument för användaren medan systemet är infekterat i bakgrunden.
Den körbara filen är faktiskt en patchad Windows-systemfil (som explorer.exe), inbäddad med skadlig skalkod som innehåller en förvirrad Mythic-agent, som ansluter till C2-servern för ytterligare instruktioner.
Alternativ attackväg: PowerModul intar centrum
I en alternativ metod använder Paper Werewolf ett RAR-arkiv med ett makrospetsat Office-dokument som fungerar som en droppe för PowerModul. Detta PowerShell-skript kan köra ytterligare skript från C2-servern, vilket gör det till en mångsidig bakdörr.
Payload Parade: En verktygslåda för spionage och infektion
PowerModul har använts sedan början av 2024, främst för att ladda ner och köra PowerTaskel. Andra anmärkningsvärda nyttolaster inkluderar:
- FlashFileGrabber : Stjäl filer från flash-enheter och exfiltrerar dem.
- FlashFileGrabberOffline : Söker efter filer med specifika tillägg på flashmedia och lagrar dem lokalt för senare exfiltrering.
- USB Worm : Infekterar flash-enheter med en kopia av PowerModul för att sprida skadlig programvara vidare.
PowerTaskels möjligheter: Mer än bara skriptkörning
Även om det liknar PowerModul, är PowerTaskel mer kapabel. Den skickar ett "checkin"-meddelande med systeminformation, kör kommandon från C2-servern och kan eskalera privilegier med PsExec. I ett fall sågs det köra ett FolderFileGrabber-skript som samlar in filer från fjärrsystem med hjälp av hårdkodade SMB-nätverksvägar.
Evolution in Tactics: Shifting Away from PowerTaskel
För första gången har Paper Werewolf använt bedrägliga Word-dokument med VBA-skript för första åtkomst. Nya fynd tyder också på ett taktiskt skifte, där gruppen flyttar bort från PowerTaskel och förlitar sig i allt högre grad på binära Mythic-agenter för lateral rörelse inom riktade nätverk.
Final Thoughts: A Growing Threat with Evolving Techniques
Paper Werewolf fortsätter att förfina sina tekniker och utöka sin arsenal. Det exklusiva fokuset på ryska enheter, i kombination med störande kapacitet och en utvecklande infektionsstrategi, gör det till ett allvarligt och ihållande cyberhot vid horisonten.
