PicassoLoader మాల్వేర్

ఇన్ఫోసెక్ నిపుణులు ఉక్రెయిన్ మరియు పోలాండ్‌లోని లక్ష్యాలకు వ్యతిరేకంగా సైబర్‌టాక్ ప్రచారాల శ్రేణిని గుర్తించారు. సైబర్ నేరగాళ్లు ప్రభుత్వ సంస్థలు, సైనిక సంస్థలు మరియు పౌర వినియోగదారులతో రాజీ పడటంపై దృష్టి సారిస్తారు. ఈ ప్రచారాలు అక్రమంగా సున్నితమైన డేటాను పొందడం మరియు రాజీపడిన సిస్టమ్‌లకు నిరంతర రిమోట్ యాక్సెస్‌ను ఏర్పాటు చేయడం లక్ష్యంగా పెట్టుకున్నాయి.

ఏప్రిల్ 2022 నుండి జూలై 2023 వరకు విస్తరించి ఉన్న ఈ చొరబాటు ప్రచారం వివిధ వ్యూహాలను ఉపయోగించుకుంటుంది. ఫిషింగ్ ఎరలు మరియు డికాయ్ డాక్యుమెంట్‌లు బాధితులను మోసం చేయడానికి మరియు PicassoLoader అని పిలవబడే డౌన్‌లోడ్ మాల్‌వేర్‌ని అమలు చేయడానికి ఉపయోగించబడతాయి. ఈ బెదిరింపు సాఫ్ట్‌వేర్ ఇతర అసురక్షిత సాధనాలను, ప్రత్యేకంగా Cobalt Strike బెకన్ మరియు njRAT లాంచ్ చేయడానికి గేట్‌వేగా పనిచేస్తుంది.

ఫిషింగ్ ఎరలు అనేది వినియోగదారు పేర్లు, పాస్‌వర్డ్‌లు లేదా ఖాతా ఆధారాలు వంటి సున్నితమైన సమాచారాన్ని బహిర్గతం చేసేలా వ్యక్తులను మోసగించడానికి ఉపయోగించే మోసపూరిత పద్ధతులు. డికాయ్ డాక్యుమెంట్‌లు చట్టబద్ధంగా కనిపించేలా రూపొందించబడిన మారువేషంలో ఉన్న ఫైల్‌లు, అయితే వాస్తవానికి అసురక్షిత పేలోడ్‌లను కలిగి ఉంటాయి. ఈ డికోయ్ డాక్యుమెంట్‌లతో ఇంటరాక్ట్ అయ్యేలా బాధితులను ప్రలోభపెట్టడం ద్వారా, దాడి చేసేవారు తమ సిస్టమ్‌లలోకి PicassoLoader డౌన్‌లోడ్‌ను అమలు చేయవచ్చు.

PicassoLoader విజయవంతంగా అమలు చేయబడిన తర్వాత, అది దాడి యొక్క తదుపరి దశకు ఒక మార్గంగా పనిచేస్తుంది. ఇది రెండు అదనపు రకాల మాల్వేర్‌ల ఇన్‌స్టాలేషన్ మరియు అమలును అనుమతిస్తుంది: కోబాల్ట్ స్ట్రైక్ బెకన్ మరియు njRAT. కోబాల్ట్ స్ట్రైక్ బెకన్ అనేది ఒక అధునాతన చొచ్చుకుపోయే పరీక్ష సాధనం, ఇది దాడి చేసేవారిని అనధికారిక యాక్సెస్ మరియు రాజీ వ్యవస్థలపై నియంత్రణను పొందేందుకు అనుమతిస్తుంది. njRAT విషయానికొస్తే, ఇది రిమోట్ యాక్సెస్ ట్రోజన్, ఇది దాడి చేసేవారికి సోకిన సిస్టమ్‌లకు అనధికారిక రిమోట్ యాక్సెస్‌ను అందిస్తుంది, వారు గుర్తించబడని హానికరమైన కార్యకలాపాలను నిర్వహించడానికి వీలు కల్పిస్తుంది.

PicassoLoader మాల్వేర్ మల్టీస్టేజ్ ఇన్ఫెక్షన్ చైన్‌లో భాగంగా అమలు చేయబడింది

PicassoLoader వెనుక దాడి చేసేవారు తమ హానికరమైన కార్యకలాపాలను నిర్వహించడానికి బహుళ-దశల సంక్రమణ గొలుసును ఉపయోగించారు. ప్రారంభ దశలో మైక్రోసాఫ్ట్ ఎక్సెల్ మరియు పవర్ పాయింట్ ఫైల్ ఫార్మాట్‌లు అత్యంత సాధారణంగా ఉపయోగించే మైక్రోసాఫ్ట్ ఆఫీస్ డాక్యుమెంట్‌ల ఉపయోగం. ఈ పత్రాలు దాడికి ప్రారంభ బిందువుగా పనిచేస్తాయి.

ఆఫీస్ డాక్యుమెంట్‌లను అనుసరించి, ఎక్జిక్యూటబుల్ డౌన్‌లోడ్ మరియు పేలోడ్ ఇమేజ్ ఫైల్‌లో దాచబడతాయి. డౌన్‌లోడ్ చేసేవారిని గుర్తించడం మరియు పేలోడ్‌ను భద్రతా వ్యవస్థలకు మరింత సవాలుగా మార్చడానికి ఈ వ్యూహం ఉపయోగించబడింది. ఇమేజ్ ఫైల్‌లో దాచడం ద్వారా, దాడి చేసేవారు భద్రతా చర్యలను దాటవేయడం మరియు విజయవంతమైన చొరబాటు అవకాశాలను పెంచడం లక్ష్యంగా పెట్టుకున్నారు.

ఈ దాడులలో కొన్ని ఘోస్ట్‌రైటర్ అని పిలువబడే ముప్పు నటుడికి ఆపాదించబడ్డాయి, UAC-0057 లేదా UNC1151గా కూడా ట్రాక్ చేయబడ్డాయి. ఘోస్ట్ రైటర్ యొక్క ప్రేరణలు మరియు లక్ష్యాలు బెలారసియన్ ప్రభుత్వ ప్రయోజనాలకు అనుగుణంగా ఉన్నాయని నమ్ముతారు.

ఉక్రెయిన్‌పై అనేక లక్ష్య దాడులు గమనించబడ్డాయి

ఉక్రెయిన్‌కు చెందిన కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA) ద్వారా ఈ దాడుల ఉపసమితిని గత సంవత్సరంలో ఇప్పటికే నమోదు చేయడం గమనార్హం. ఒక ముఖ్యమైన ఉదాహరణ జూలై 2022లో జరిగింది, ఇక్కడ Agent Tesla మాల్వేర్‌ను డెలివరీ చేయడానికి మాక్రో-లాడెన్ పవర్‌పాయింట్ పత్రాలు ఉపయోగించబడ్డాయి. ఈ సంఘటన మాల్‌వేర్‌ను పంపిణీ చేయడానికి మరియు బాధితుల సిస్టమ్‌లను రాజీ చేయడానికి మాక్రోలను ఉపయోగించడాన్ని హైలైట్ చేసింది.

ఈ దాడుల్లో ఉపయోగించిన ఇన్‌ఫెక్షన్ చైన్‌లు ఆఫీస్ డాక్యుమెంట్‌లలోని మాక్రోలను ఎనేబుల్ చేసేలా బాధితులను ఒప్పించేందుకు సోషల్ ఇంజనీరింగ్ పద్ధతులపై ఆధారపడతాయి. మాక్రోలు ప్రారంభించబడిన తర్వాత, VBA మాక్రో ట్రిగ్గర్ చేయబడుతుంది, ఇది PicassoLoader DLL డౌన్‌లోడర్ ముప్పు యొక్క విస్తరణకు దారి తీస్తుంది. ఈ డౌన్‌లోడర్ తదుపరి-దశ పేలోడ్‌ను తిరిగి పొందడానికి దాడి చేసేవారిచే నియంత్రించబడే సైట్‌తో కనెక్షన్‌ను ఏర్పరుస్తుంది, ఇది చట్టబద్ధమైన ఇమేజ్ ఫైల్‌లో పొందుపరచబడింది. చివరి మాల్వేర్ ఈ ఇమేజ్ ఫైల్‌లో దాగి ఉంది.

CERT-UA ద్వారా ఈ ఇటీవలి బహిర్గతం స్మోక్‌లోడర్ మాల్వేర్‌ను పంపిణీ చేసే అనేక ఫిషింగ్ కార్యకలాపాలపై వారి రిపోర్టింగ్‌తో సమానంగా ఉంటుంది. అదనంగా, వారి ఖాతాలపై అనధికారిక నియంత్రణను పొందే లక్ష్యంతో టెలిగ్రామ్ వినియోగదారులను లక్ష్యంగా చేసుకుని స్మిషింగ్ అటాక్ గుర్తించబడింది.

ఉక్రెయిన్‌ను లక్ష్యంగా చేసుకున్న సైబర్‌క్రైమ్ గ్రూపుల్లో ఘోస్ట్‌రైటర్ ఒకటి

ఉక్రెయిన్ అనేక బెదిరింపు నటులకు లక్ష్యంగా మారింది, ఇందులో అపఖ్యాతి పాలైన రష్యన్ జాతీయ-రాష్ట్ర సమూహం APT28 . APT28 HTML అటాచ్‌మెంట్‌లతో ఫిషింగ్ ఇమెయిల్‌లను పంపడం, గ్రహీతలను వారి UKR.NET మరియు Yahoo!లో అనుమానాస్పద కార్యకలాపం ఉందని నమ్మించే వ్యూహాన్ని అమలు చేయడం గమనించబడింది. ఖాతాలు. ఇమెయిల్‌లు వారి పాస్‌వర్డ్‌లను మార్చమని వినియోగదారులను ప్రేరేపిస్తాయి, బదులుగా, వారి లాగిన్ ఆధారాలను సేకరించేందుకు రూపొందించిన నకిలీ ల్యాండింగ్ పేజీలకు దారి తీస్తాయి.

ఈ ఇటీవలి అభివృద్ధి రష్యన్ మిలిటరీ ఇంటెలిజెన్స్ (GRU)-అనుబంధ హ్యాకర్ల కార్యకలాపాలలో గమనించిన విస్తృత నమూనాలో భాగం. వారు ఉక్రెయిన్‌కు వ్యతిరేకంగా తమ అంతరాయం కలిగించే కార్యకలాపాలలో 'ప్రామాణిక ఐదు-దశల ప్లేబుక్'ని స్వీకరించారు, వారి దాడుల వేగం, స్థాయి మరియు తీవ్రతను పెంచడానికి ఉద్దేశపూర్వక ప్రయత్నాన్ని ప్రదర్శించారు.