PowerModul Implant
పేపర్ వేర్వోల్ఫ్ - GOFFEE అని కూడా పిలువబడే ఈ బెదిరింపు నటుడు పవర్మోడుల్ అనే కొత్త ఇంప్లాంట్ను ఉపయోగించి రష్యన్ సంస్థలను ప్రత్యేకంగా లక్ష్యంగా చేసుకున్నాడు. జూలై మరియు డిసెంబర్ 2024 మధ్య, వారి దాడులు మాస్ మీడియా, టెలికమ్యూనికేషన్స్, నిర్మాణం, ప్రభుత్వ సంస్థలు మరియు ఇంధన రంగం వంటి కీలక పరిశ్రమలపై కేంద్రీకృతమయ్యాయి.
విషయ సూచిక
నిరంతర విరోధి: 2022 నుండి ప్రచారాలు
పేపర్ వేర్వోల్ఫ్ 2022 నుండి కనీసం ఏడు ప్రచారాలను నిర్వహించింది. ప్రభుత్వం, ఇంధనం, ఆర్థిక మరియు మీడియా రంగాలలోని అధిక-విలువ లక్ష్యాలపై సమూహం యొక్క స్థిరమైన దృష్టి ఉంది.
గూఢచర్యం కంటే ఎక్కువ: దాడి గొలుసులలో విధ్వంసక మలుపులు
పేపర్ వేర్వోల్ఫ్ కార్యకలాపాలు సాంప్రదాయ సైబర్ గూఢచర్యాన్ని మించిపోయాయి. వారి దాడి గొలుసులు ఉద్యోగుల ఖాతా పాస్వర్డ్లను మార్చడం వంటి విధ్వంసక భాగాలను కలుపుకోవడం గమనించబడింది, ఇది కార్యకలాపాలను దెబ్బతీసే ఉద్దేశ్యాన్ని సూచిస్తుంది మరియు డేటాను దొంగిలించడమే కాదు.
ఎంట్రీ పాయింట్: ఫిషింగ్ లూర్స్ మరియు పవర్రాట్
ఈ దాడులు సాధారణంగా మాక్రో-లేస్డ్ డాక్యుమెంట్లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్లతో ప్రారంభమవుతాయి. బాధితుడు ఫైల్ను యాక్సెస్ చేసి, మాక్రోలను ప్రారంభించిన తర్వాత, పవర్రాట్ అని పిలువబడే పవర్షెల్-ఆధారిత రిమోట్ యాక్సెస్ ట్రోజన్ అమలు చేయబడుతుంది. ఈ మాల్వేర్ మరింత అధునాతన పేలోడ్లకు వేదికను ఏర్పాటు చేస్తుంది.
కస్టమ్ మాల్వేర్ ఆర్సెనల్: పవర్టాస్కెల్, క్వాక్మైఅజెంట్ మరియు ఓవోవా
తదుపరి దశ పేలోడ్లలో తరచుగా పవర్టాస్కెల్ మరియు క్వాక్మైఅజెంట్ ఉంటాయి, ఇవి మిథిక్ ఫ్రేమ్వర్క్ ఆధారంగా ఏజెంట్ల కస్టమ్ వెర్షన్లు. మరొక సాధనం, ఓవోవా, ఒక హానికరమైన IIS మాడ్యూల్, వెబ్ క్లయింట్ల ద్వారా నమోదు చేయబడిన Microsoft Outlook ఆధారాలను దొంగిలించడానికి ఉపయోగించబడుతుంది.
కొత్త ఇన్ఫెక్షన్ వ్యూహం: RAR ఆర్కైవ్స్లో మారువేషంలో ఉన్న అమలు చేయగల పరికరాలు
తాజా దాడులలో డబుల్ ఎక్స్టెన్షన్లను (ఉదా. *.pdf.exe) ఉపయోగించి PDF లేదా వర్డ్ డాక్యుమెంట్గా మారువేషంలో ఎక్జిక్యూటబుల్ను కలిగి ఉన్న హానికరమైన RAR ఆర్కైవ్ ఉంది. అమలు చేసిన తర్వాత, సిస్టమ్ నేపథ్యంలో నిశ్శబ్దంగా ఇన్ఫెక్ట్ చేయబడినప్పుడు వినియోగదారుకు డెకాయ్ డాక్యుమెంట్ చూపబడుతుంది.
ఎక్జిక్యూటబుల్ వాస్తవానికి ప్యాచ్ చేయబడిన విండోస్ సిస్టమ్ ఫైల్ (explorer.exe లాంటిది), ఇది అస్పష్టమైన మిథిక్ ఏజెంట్ను కలిగి ఉన్న హానికరమైన షెల్కోడ్తో పొందుపరచబడింది, ఇది తదుపరి సూచనల కోసం C2 సర్వర్కు కనెక్ట్ అవుతుంది.
ప్రత్యామ్నాయ దాడి మార్గం: పవర్ మాడ్యూల్ సెంటర్ స్టేజ్ తీసుకుంటుంది
ప్రత్యామ్నాయ పద్ధతిలో, పేపర్ వేర్వోల్ఫ్ పవర్మోడల్కు డ్రాపర్గా పనిచేసే మాక్రో-లేస్డ్ ఆఫీస్ డాక్యుమెంట్తో కూడిన RAR ఆర్కైవ్ను ఉపయోగిస్తుంది. ఈ పవర్షెల్ స్క్రిప్ట్ C2 సర్వర్ నుండి అదనపు స్క్రిప్ట్లను అమలు చేయగలదు, ఇది బహుముఖ బ్యాక్డోర్గా మారుతుంది.
పేలోడ్ పరేడ్: గూఢచర్యం మరియు ఇన్ఫెక్షన్ కోసం ఒక సాధనం
పవర్మాడ్యూల్ 2024 ప్రారంభం నుండి వాడుకలో ఉంది, ప్రధానంగా పవర్టాస్కెల్ను డౌన్లోడ్ చేసి అమలు చేయడానికి. ఇతర ముఖ్యమైన పేలోడ్లు:
- ఫ్లాష్ఫైల్గ్రాబ్బర్ : ఫ్లాష్ డ్రైవ్ల నుండి ఫైల్లను దొంగిలించి వాటిని ఎక్స్ఫిల్ట్రేట్ చేస్తుంది.
- FlashFileGrabberOffline : ఫ్లాష్ మీడియాలో నిర్దిష్ట పొడిగింపులతో ఉన్న ఫైళ్ళ కోసం శోధిస్తుంది మరియు తరువాత నిష్క్రమణ కోసం వాటిని స్థానికంగా నిల్వ చేస్తుంది.
- USB వార్మ్ : మాల్వేర్ను మరింత వ్యాప్తి చేయడానికి పవర్మోడుల్ కాపీతో ఫ్లాష్ డ్రైవ్లను ప్రభావితం చేస్తుంది.
పవర్టాస్కెల్ సామర్థ్యాలు: స్క్రిప్ట్ ఎగ్జిక్యూషన్ కంటే ఎక్కువ
పవర్మోడుల్లాగే, పవర్టాస్కెల్ మరింత సామర్థ్యం కలిగి ఉంటుంది. ఇది సిస్టమ్ సమాచారంతో 'చెక్ ఇన్' సందేశాన్ని పంపుతుంది, C2 సర్వర్ నుండి ఆదేశాలను అమలు చేస్తుంది మరియు PsExec ఉపయోగించి ప్రత్యేక హక్కులను పెంచగలదు. ఒక సందర్భంలో, హార్డ్కోడ్ చేయబడిన SMB నెట్వర్క్ మార్గాలను ఉపయోగించి రిమోట్ సిస్టమ్ల నుండి ఫైల్లను సేకరించే ఫోల్డర్ఫైల్గ్రాబ్బర్ స్క్రిప్ట్ను అమలు చేయడం కనిపించింది.
వ్యూహాలలో పరిణామం: పవర్టాస్కెల్ నుండి దూరంగా మారడం
మొదటిసారిగా, పేపర్ వేర్వోల్ఫ్ ప్రారంభ యాక్సెస్ కోసం VBA స్క్రిప్ట్లతో కూడిన మోసపూరిత వర్డ్ డాక్యుమెంట్లను ఉపయోగించింది. ఇటీవలి పరిశోధనలు కూడా వ్యూహాత్మక మార్పును సూచిస్తున్నాయి, సమూహం పవర్టాస్కెల్ నుండి దూరమై, లక్ష్య నెట్వర్క్లలో పార్శ్వ కదలిక కోసం బైనరీ మిథిక్ ఏజెంట్లపై ఎక్కువగా ఆధారపడుతోంది.
తుది ఆలోచనలు: అభివృద్ధి చెందుతున్న పద్ధతులతో పెరుగుతున్న ముప్పు
పేపర్ వేర్వోల్ఫ్ తన పద్ధతులను మెరుగుపరుచుకుంటూ మరియు తన ఆయుధ సామగ్రిని విస్తరిస్తూనే ఉంది. రష్యన్ సంస్థలపై ప్రత్యేక దృష్టి, అంతరాయం కలిగించే సామర్థ్యాలు మరియు అభివృద్ధి చెందుతున్న ఇన్ఫెక్షన్ వ్యూహంతో కలిపి, దీనిని తీవ్రమైన మరియు నిరంతర సైబర్ ముప్పుగా మారుస్తుంది.
