PicassoLoader มัลแวร์
ผู้เชี่ยวชาญของ Infosec ได้ระบุถึงชุดการโจมตีทางไซเบอร์ต่อเป้าหมายในยูเครนและโปแลนด์ อาชญากรไซเบอร์มุ่งเน้นไปที่การประนีประนอมกับหน่วยงานของรัฐ องค์กรทางทหาร และผู้ใช้ที่เป็นพลเรือน แคมเปญเหล่านี้มีเป้าหมายเพื่อรับข้อมูลที่ละเอียดอ่อนอย่างผิดกฎหมายและสร้างการเข้าถึงระยะไกลอย่างต่อเนื่องไปยังระบบที่ถูกบุกรุก
ครอบคลุมระยะเวลาตั้งแต่เดือนเมษายน 2565 ถึงกรกฎาคม 2566 แคมเปญการบุกรุกนี้ใช้กลวิธีต่างๆ เครื่องมือล่อฟิชชิ่งและเอกสารล่อใช้เพื่อหลอกลวงเหยื่อและอำนวยความสะดวกในการปรับใช้มัลแวร์ดาวน์โหลดที่รู้จักกันในชื่อ PicassoLoader ซอฟต์แวร์คุกคามนี้ทำหน้าที่เป็นประตูเปิดเครื่องมือที่ไม่ปลอดภัยอื่นๆ โดยเฉพาะ Cobalt Strike Beacon และ njRAT
เหยื่อฟิชชิ่งเป็นเทคนิคหลอกลวงที่ใช้หลอกล่อให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลรับรองบัญชี เอกสารล่อคือไฟล์ปลอมแปลงที่ออกแบบให้ดูเหมือนถูกต้องตามกฎหมาย แต่จริงๆ แล้วประกอบด้วยเพย์โหลดที่ไม่ปลอดภัย โดยการหลอกล่อเหยื่อให้โต้ตอบกับเอกสารล่อเหล่านี้ ผู้โจมตีสามารถรันโปรแกรมดาวน์โหลด PicassoLoader บนระบบของพวกเขาได้
เมื่อใช้งาน PicassoLoader สำเร็จ มันจะทำหน้าที่เป็นช่องทางสำหรับการโจมตีขั้นต่อไป ช่วยให้สามารถติดตั้งและดำเนินการกับมัลแวร์เพิ่มเติมอีก 2 ประเภท ได้แก่ Cobalt Strike Beacon และ njRAT Cobalt Strike Beacon เป็นเครื่องมือทดสอบการเจาะระบบขั้นสูงที่ช่วยให้ผู้โจมตีสามารถเข้าถึงและควบคุมระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาต สำหรับ njRAT เป็นโทรจันการเข้าถึงระยะไกลที่ให้ผู้โจมตีเข้าถึงระบบที่ติดไวรัสจากระยะไกลโดยไม่ได้รับอนุญาต ทำให้พวกเขาสามารถดำเนินกิจกรรมที่เป็นอันตรายโดยตรวจไม่พบ
สารบัญ
มัลแวร์ PicassoLoader ถูกปรับใช้เป็นส่วนหนึ่งของห่วงโซ่การติดเชื้อแบบหลายขั้นตอน
ผู้โจมตีที่อยู่เบื้องหลัง PicassoLoader ใช้ห่วงโซ่การติดเชื้อหลายขั้นตอนเพื่อดำเนินกิจกรรมที่เป็นอันตราย ระยะแรกเกี่ยวข้องกับการใช้เอกสาร Microsoft Office ที่ถูกบุกรุก โดยรูปแบบไฟล์ Microsoft Excel และ PowerPoint เป็นรูปแบบที่ใช้บ่อยที่สุด เอกสารเหล่านี้เป็นจุดเริ่มต้นของการโจมตี
ตามเอกสาร Office โปรแกรมดาวน์โหลดไฟล์ปฏิบัติการและเพย์โหลดจะถูกซ่อนไว้ในไฟล์รูปภาพ กลยุทธ์นี้มีแนวโน้มที่จะใช้เพื่อทำให้การตรวจจับตัวดาวน์โหลดและเพย์โหลดมีความท้าทายมากขึ้นสำหรับระบบรักษาความปลอดภัย ผู้โจมตีมีเป้าหมายที่จะหลบเลี่ยงมาตรการรักษาความปลอดภัยและเพิ่มโอกาสในการแทรกซึมที่ประสบความสำเร็จด้วยการซ่อนไฟล์รูปภาพไว้ในไฟล์รูปภาพ
การโจมตีเหล่านี้บางส่วนมีสาเหตุมาจากผู้คุกคามที่รู้จักกันในชื่อ GhostWriter ซึ่งติดตามในชื่อ UAC-0057 หรือ UNC1151 แรงจูงใจและวัตถุประสงค์ของ GhostWriter เชื่อว่าสอดคล้องกับผลประโยชน์ของรัฐบาลเบลารุส
การโจมตีเป้าหมายจำนวนมากต่อยูเครนได้กลายเป็นที่สังเกตได้
เป็นที่น่าสังเกตว่าส่วนย่อยของการโจมตีเหล่านี้ได้รับการบันทึกไว้แล้วในปีที่ผ่านมาโดย Computer Emergency Response Team (CERT-UA) ของยูเครน ตัวอย่างที่โดดเด่นอย่างหนึ่งเกิดขึ้นในเดือนกรกฎาคม 2565 ซึ่งมีการใช้เอกสาร PowerPoint ที่เต็มไปด้วยมาโครเพื่อส่งมัลแวร์ Agent Tesla เหตุการณ์นี้เน้นย้ำถึงการใช้มาโครเพื่อกระจายมัลแวร์และบุกรุกระบบของเหยื่อ
ห่วงโซ่การติดเชื้อที่ใช้ในการโจมตีเหล่านี้อาศัยวิธีการทางวิศวกรรมสังคมเพื่อโน้มน้าวให้เหยื่อเปิดใช้งานมาโครภายในเอกสาร Office เมื่อเปิดใช้งานมาโครแล้ว มาโคร VBA จะถูกทริกเกอร์ ซึ่งนำไปสู่การปรับใช้ภัยคุกคามตัวดาวน์โหลด PicassoLoader DLL จากนั้นโปรแกรมดาวน์โหลดนี้จะสร้างการเชื่อมต่อกับไซต์ที่ควบคุมโดยผู้โจมตีเพื่อเรียกข้อมูลเพย์โหลดขั้นต่อไป ซึ่งฝังอยู่ในไฟล์รูปภาพที่ดูเหมือนถูกต้องตามกฎหมาย มัลแวร์ขั้นสุดท้ายถูกซ่อนอยู่ในไฟล์รูปภาพนี้
การเปิดเผยล่าสุดเหล่านี้โดย CERT-UA สอดคล้องกับรายงานของพวกเขาเกี่ยวกับปฏิบัติการฟิชชิ่งหลายรายการที่กระจายมัลแวร์ SmokeLoader นอกจากนี้ ยังมีการระบุการโจมตีแบบ smishing ซึ่งกำหนดเป้าหมายไปที่ผู้ใช้ Telegram โดยมีวัตถุประสงค์เพื่อเข้าควบคุมบัญชีของพวกเขาโดยไม่ได้รับอนุญาต
GhostWriter เป็นเพียงหนึ่งในกลุ่มอาชญากรรมไซเบอร์ที่กำหนดเป้าหมายไปที่ยูเครน
ยูเครนกลายเป็นเป้าหมายของผู้คุกคามหลายราย รวมถึงกลุ่มรัฐชาติรัสเซียชื่อ APT28 มีการสังเกตว่า APT28 ใช้กลวิธีในการส่งอีเมลฟิชชิ่งพร้อมไฟล์แนบ HTML เพื่อหลอกให้ผู้รับเชื่อว่ามีกิจกรรมที่น่าสงสัยใน UKR.NET และ Yahoo! บัญชี อีเมลแจ้งให้ผู้ใช้เปลี่ยนรหัสผ่าน แต่นำพวกเขาไปยังหน้า Landing Page ปลอมที่ออกแบบมาเพื่อรวบรวมข้อมูลรับรองการเข้าสู่ระบบ
การพัฒนาล่าสุดนี้เป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้นซึ่งสังเกตได้จากกิจกรรมของแฮ็กเกอร์ที่เกี่ยวข้องกับหน่วยข่าวกรองทางทหารของรัสเซีย (GRU) พวกเขาได้นำ 'แผนกลยุทธ์ 5 ระยะมาตรฐาน' มาใช้ในการดำเนินการก่อกวนกับยูเครน ซึ่งแสดงให้เห็นถึงความพยายามโดยเจตนาที่จะเพิ่มความเร็ว ขนาด และความรุนแรงของการโจมตีของพวกเขา
