PicassoLoader మాల్వేర్
ఇన్ఫోసెక్ నిపుణులు ఉక్రెయిన్ మరియు పోలాండ్లోని లక్ష్యాలకు వ్యతిరేకంగా సైబర్టాక్ ప్రచారాల శ్రేణిని గుర్తించారు. సైబర్ నేరగాళ్లు ప్రభుత్వ సంస్థలు, సైనిక సంస్థలు మరియు పౌర వినియోగదారులతో రాజీ పడటంపై దృష్టి సారిస్తారు. ఈ ప్రచారాలు అక్రమంగా సున్నితమైన డేటాను పొందడం మరియు రాజీపడిన సిస్టమ్లకు నిరంతర రిమోట్ యాక్సెస్ను ఏర్పాటు చేయడం లక్ష్యంగా పెట్టుకున్నాయి.
ఏప్రిల్ 2022 నుండి జూలై 2023 వరకు విస్తరించి ఉన్న ఈ చొరబాటు ప్రచారం వివిధ వ్యూహాలను ఉపయోగించుకుంటుంది. ఫిషింగ్ ఎరలు మరియు డికాయ్ డాక్యుమెంట్లు బాధితులను మోసం చేయడానికి మరియు PicassoLoader అని పిలవబడే డౌన్లోడ్ మాల్వేర్ని అమలు చేయడానికి ఉపయోగించబడతాయి. ఈ బెదిరింపు సాఫ్ట్వేర్ ఇతర అసురక్షిత సాధనాలను, ప్రత్యేకంగా Cobalt Strike బెకన్ మరియు njRAT లాంచ్ చేయడానికి గేట్వేగా పనిచేస్తుంది.
ఫిషింగ్ ఎరలు అనేది వినియోగదారు పేర్లు, పాస్వర్డ్లు లేదా ఖాతా ఆధారాలు వంటి సున్నితమైన సమాచారాన్ని బహిర్గతం చేసేలా వ్యక్తులను మోసగించడానికి ఉపయోగించే మోసపూరిత పద్ధతులు. డికాయ్ డాక్యుమెంట్లు చట్టబద్ధంగా కనిపించేలా రూపొందించబడిన మారువేషంలో ఉన్న ఫైల్లు, అయితే వాస్తవానికి అసురక్షిత పేలోడ్లను కలిగి ఉంటాయి. ఈ డికోయ్ డాక్యుమెంట్లతో ఇంటరాక్ట్ అయ్యేలా బాధితులను ప్రలోభపెట్టడం ద్వారా, దాడి చేసేవారు తమ సిస్టమ్లలోకి PicassoLoader డౌన్లోడ్ను అమలు చేయవచ్చు.
PicassoLoader విజయవంతంగా అమలు చేయబడిన తర్వాత, అది దాడి యొక్క తదుపరి దశకు ఒక మార్గంగా పనిచేస్తుంది. ఇది రెండు అదనపు రకాల మాల్వేర్ల ఇన్స్టాలేషన్ మరియు అమలును అనుమతిస్తుంది: కోబాల్ట్ స్ట్రైక్ బెకన్ మరియు njRAT. కోబాల్ట్ స్ట్రైక్ బెకన్ అనేది ఒక అధునాతన చొచ్చుకుపోయే పరీక్ష సాధనం, ఇది దాడి చేసేవారిని అనధికారిక యాక్సెస్ మరియు రాజీ వ్యవస్థలపై నియంత్రణను పొందేందుకు అనుమతిస్తుంది. njRAT విషయానికొస్తే, ఇది రిమోట్ యాక్సెస్ ట్రోజన్, ఇది దాడి చేసేవారికి సోకిన సిస్టమ్లకు అనధికారిక రిమోట్ యాక్సెస్ను అందిస్తుంది, వారు గుర్తించబడని హానికరమైన కార్యకలాపాలను నిర్వహించడానికి వీలు కల్పిస్తుంది.
విషయ సూచిక
PicassoLoader మాల్వేర్ మల్టీస్టేజ్ ఇన్ఫెక్షన్ చైన్లో భాగంగా అమలు చేయబడింది
PicassoLoader వెనుక దాడి చేసేవారు తమ హానికరమైన కార్యకలాపాలను నిర్వహించడానికి బహుళ-దశల సంక్రమణ గొలుసును ఉపయోగించారు. ప్రారంభ దశలో మైక్రోసాఫ్ట్ ఎక్సెల్ మరియు పవర్ పాయింట్ ఫైల్ ఫార్మాట్లు అత్యంత సాధారణంగా ఉపయోగించే మైక్రోసాఫ్ట్ ఆఫీస్ డాక్యుమెంట్ల ఉపయోగం. ఈ పత్రాలు దాడికి ప్రారంభ బిందువుగా పనిచేస్తాయి.
ఆఫీస్ డాక్యుమెంట్లను అనుసరించి, ఎక్జిక్యూటబుల్ డౌన్లోడ్ మరియు పేలోడ్ ఇమేజ్ ఫైల్లో దాచబడతాయి. డౌన్లోడ్ చేసేవారిని గుర్తించడం మరియు పేలోడ్ను భద్రతా వ్యవస్థలకు మరింత సవాలుగా మార్చడానికి ఈ వ్యూహం ఉపయోగించబడింది. ఇమేజ్ ఫైల్లో దాచడం ద్వారా, దాడి చేసేవారు భద్రతా చర్యలను దాటవేయడం మరియు విజయవంతమైన చొరబాటు అవకాశాలను పెంచడం లక్ష్యంగా పెట్టుకున్నారు.
ఈ దాడులలో కొన్ని ఘోస్ట్రైటర్ అని పిలువబడే ముప్పు నటుడికి ఆపాదించబడ్డాయి, UAC-0057 లేదా UNC1151గా కూడా ట్రాక్ చేయబడ్డాయి. ఘోస్ట్ రైటర్ యొక్క ప్రేరణలు మరియు లక్ష్యాలు బెలారసియన్ ప్రభుత్వ ప్రయోజనాలకు అనుగుణంగా ఉన్నాయని నమ్ముతారు.
ఉక్రెయిన్పై అనేక లక్ష్య దాడులు గమనించబడ్డాయి
ఉక్రెయిన్కు చెందిన కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA) ద్వారా ఈ దాడుల ఉపసమితిని గత సంవత్సరంలో ఇప్పటికే నమోదు చేయడం గమనార్హం. ఒక ముఖ్యమైన ఉదాహరణ జూలై 2022లో జరిగింది, ఇక్కడ Agent Tesla మాల్వేర్ను డెలివరీ చేయడానికి మాక్రో-లాడెన్ పవర్పాయింట్ పత్రాలు ఉపయోగించబడ్డాయి. ఈ సంఘటన మాల్వేర్ను పంపిణీ చేయడానికి మరియు బాధితుల సిస్టమ్లను రాజీ చేయడానికి మాక్రోలను ఉపయోగించడాన్ని హైలైట్ చేసింది.
ఈ దాడుల్లో ఉపయోగించిన ఇన్ఫెక్షన్ చైన్లు ఆఫీస్ డాక్యుమెంట్లలోని మాక్రోలను ఎనేబుల్ చేసేలా బాధితులను ఒప్పించేందుకు సోషల్ ఇంజనీరింగ్ పద్ధతులపై ఆధారపడతాయి. మాక్రోలు ప్రారంభించబడిన తర్వాత, VBA మాక్రో ట్రిగ్గర్ చేయబడుతుంది, ఇది PicassoLoader DLL డౌన్లోడర్ ముప్పు యొక్క విస్తరణకు దారి తీస్తుంది. ఈ డౌన్లోడర్ తదుపరి-దశ పేలోడ్ను తిరిగి పొందడానికి దాడి చేసేవారిచే నియంత్రించబడే సైట్తో కనెక్షన్ను ఏర్పరుస్తుంది, ఇది చట్టబద్ధమైన ఇమేజ్ ఫైల్లో పొందుపరచబడింది. చివరి మాల్వేర్ ఈ ఇమేజ్ ఫైల్లో దాగి ఉంది.
CERT-UA ద్వారా ఈ ఇటీవలి బహిర్గతం స్మోక్లోడర్ మాల్వేర్ను పంపిణీ చేసే అనేక ఫిషింగ్ కార్యకలాపాలపై వారి రిపోర్టింగ్తో సమానంగా ఉంటుంది. అదనంగా, వారి ఖాతాలపై అనధికారిక నియంత్రణను పొందే లక్ష్యంతో టెలిగ్రామ్ వినియోగదారులను లక్ష్యంగా చేసుకుని స్మిషింగ్ అటాక్ గుర్తించబడింది.
ఉక్రెయిన్ను లక్ష్యంగా చేసుకున్న సైబర్క్రైమ్ గ్రూపుల్లో ఘోస్ట్రైటర్ ఒకటి
ఉక్రెయిన్ అనేక బెదిరింపు నటులకు లక్ష్యంగా మారింది, ఇందులో అపఖ్యాతి పాలైన రష్యన్ జాతీయ-రాష్ట్ర సమూహం APT28 . APT28 HTML అటాచ్మెంట్లతో ఫిషింగ్ ఇమెయిల్లను పంపడం, గ్రహీతలను వారి UKR.NET మరియు Yahoo!లో అనుమానాస్పద కార్యకలాపం ఉందని నమ్మించే వ్యూహాన్ని అమలు చేయడం గమనించబడింది. ఖాతాలు. ఇమెయిల్లు వారి పాస్వర్డ్లను మార్చమని వినియోగదారులను ప్రేరేపిస్తాయి, బదులుగా, వారి లాగిన్ ఆధారాలను సేకరించేందుకు రూపొందించిన నకిలీ ల్యాండింగ్ పేజీలకు దారి తీస్తాయి.
ఈ ఇటీవలి అభివృద్ధి రష్యన్ మిలిటరీ ఇంటెలిజెన్స్ (GRU)-అనుబంధ హ్యాకర్ల కార్యకలాపాలలో గమనించిన విస్తృత నమూనాలో భాగం. వారు ఉక్రెయిన్కు వ్యతిరేకంగా తమ అంతరాయం కలిగించే కార్యకలాపాలలో 'ప్రామాణిక ఐదు-దశల ప్లేబుక్'ని స్వీకరించారు, వారి దాడుల వేగం, స్థాయి మరియు తీవ్రతను పెంచడానికి ఉద్దేశపూర్వక ప్రయత్నాన్ని ప్రదర్శించారు.