PowerModul Implant

ผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ Paper Werewolf หรือที่เรียกอีกอย่างว่า GOFFEE ได้ตั้งเป้าโจมตีองค์กรของรัสเซียโดยเฉพาะโดยใช้อิมแพลนต์ใหม่ที่เรียกว่า PowerModul ระหว่างเดือนกรกฎาคมถึงธันวาคม 2024 การโจมตีของพวกเขาได้มุ่งเป้าไปที่อุตสาหกรรมสำคัญๆ เช่น สื่อมวลชน โทรคมนาคม การก่อสร้าง หน่วยงานของรัฐ และภาคพลังงาน

ศัตรูที่ยืนยง: แคมเปญตั้งแต่ปี 2022

Paper Werewolf ได้ดำเนินการรณรงค์มาแล้วอย่างน้อยเจ็ดครั้งนับตั้งแต่ปี 2022 โดยกลุ่มนี้มุ่งเน้นอย่างสม่ำเสมอไปที่เป้าหมายที่มีมูลค่าสูงภายในภาครัฐ พลังงาน การเงิน และสื่อ

มากกว่าการจารกรรม: การทำลายล้างที่พลิกผันในห่วงโซ่การโจมตี

ปฏิบัติการของ Paper Werewolf ไม่ใช่แค่การจารกรรมทางไซเบอร์แบบเดิมๆ การโจมตีแบบต่อเนื่องของพวกมันถูกตรวจพบว่ามีองค์ประกอบที่ก่อกวน เช่น การเปลี่ยนรหัสผ่านบัญชีพนักงาน ซึ่งบ่งชี้ถึงความตั้งใจที่จะทำลายการปฏิบัติการ ไม่ใช่ขโมยข้อมูลเท่านั้น

จุดเข้า: เหยื่อล่อฟิชชิ่งและ PowerRAT

การโจมตีมักจะเริ่มต้นด้วยอีเมลฟิชชิ่งที่มีเอกสารที่แฝงมาโคร เมื่อเหยื่อเข้าถึงไฟล์และเปิดใช้งานมาโครแล้ว โทรจันการเข้าถึงระยะไกลที่ใช้ PowerShell ที่รู้จักกันในชื่อ PowerRAT จะถูกนำไปใช้ มัลแวร์นี้จะสร้างสถานการณ์สำหรับเพย์โหลดขั้นสูงมากขึ้น

คลังอาวุธมัลแวร์ที่กำหนดเอง: PowerTaskel, QwakMyAgent และ Owowa

โหลดขั้นตอนถัดไปมักประกอบด้วย PowerTaskel และ QwakMyAgent ซึ่งเป็นเวอร์ชันที่กำหนดเองของตัวแทนที่ใช้กรอบงาน Mythic เครื่องมืออื่นคือ Owowa ซึ่งเป็นโมดูล IIS ที่เป็นอันตราย ใช้เพื่อขโมยข้อมูลประจำตัว Microsoft Outlook ที่ป้อนผ่านไคลเอนต์เว็บ

กลยุทธ์การติดเชื้อใหม่: การปลอมตัวไฟล์ปฏิบัติการในไฟล์ RAR

การโจมตีครั้งล่าสุดมีลักษณะเป็นไฟล์ RAR ที่เป็นอันตรายซึ่งมีไฟล์ปฏิบัติการที่ปลอมตัวเป็นเอกสาร PDF หรือ Word โดยใช้นามสกุลไฟล์สองนามสกุล (เช่น *.pdf.exe) เมื่อดำเนินการแล้ว เอกสารหลอกลวงจะปรากฏให้ผู้ใช้เห็นในขณะที่ระบบติดไวรัสอย่างเงียบๆ ในเบื้องหลัง

ไฟล์ปฏิบัติการนี้เป็นไฟล์ระบบ Windows ที่มีการแก้ไขแล้ว (เช่น explorer.exe) ซึ่งฝังด้วยเชลล์โค้ดที่เป็นอันตรายซึ่งประกอบด้วยตัวแทน Mythic ที่ปกปิดไว้ โดยเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อรับคำสั่งเพิ่มเติม

เส้นทางโจมตีทางเลือก: PowerModul ขึ้นเวทีกลาง

Paper Werewolf ใช้ไฟล์เก็บถาวร RAR ร่วมกับเอกสาร Office ที่มีแมโครซึ่งทำหน้าที่เป็นตัวดึงข้อมูลสำหรับ PowerModul สคริปต์ PowerShell นี้สามารถเรียกใช้สคริปต์เพิ่มเติมจากเซิร์ฟเวอร์ C2 ทำให้เป็นแบ็คดอร์ที่มีความยืดหยุ่น

Payload Parade: ชุดเครื่องมือสำหรับการจารกรรมและการติดเชื้อ

PowerModul ถูกนำมาใช้งานตั้งแต่ต้นปี 2024 โดยส่วนใหญ่ใช้เพื่อดาวน์โหลดและเรียกใช้ PowerTaskel เพย์โหลดอื่นๆ ที่น่าสนใจ ได้แก่:

• FlashFileGrabber : ขโมยไฟล์จากแฟลชไดรฟ์และแยกไฟล์ออก
• FlashFileGrabberOffline : ค้นหาไฟล์ที่มีนามสกุลไฟล์เฉพาะบนสื่อแฟลชและจัดเก็บไว้ในเครื่องเพื่อใช้ในการแยกในภายหลัง
• USB Worm : ติดไวรัสแฟลชไดรฟ์ด้วย PowerModul เพื่อแพร่กระจายมัลแวร์ให้แพร่หลายมากขึ้น

ความสามารถของ PowerTaskel: มากกว่าแค่การดำเนินการสคริปต์

แม้ว่าจะคล้ายกับ PowerModul แต่ PowerTaskel ก็มีความสามารถมากกว่า โดยจะส่งข้อความ "checkin" พร้อมข้อมูลระบบ รันคำสั่งจากเซิร์ฟเวอร์ C2 และยกระดับสิทธิ์โดยใช้ PsExec ในกรณีหนึ่ง พบการเรียกใช้สคริปต์ FolderFileGrabber ที่รวบรวมไฟล์จากระบบระยะไกลโดยใช้เส้นทางเครือข่าย SMB ที่เข้ารหัสแบบฮาร์ดโค้ด

วิวัฒนาการในกลยุทธ์: การเปลี่ยนแปลงจาก PowerTaskel

Paper Werewolf ได้ใช้เอกสาร Word ปลอมพร้อมสคริปต์ VBA สำหรับการเข้าถึงครั้งแรกเป็นครั้งแรก ผลการค้นพบล่าสุดยังบ่งชี้ถึงการเปลี่ยนแปลงเชิงกลยุทธ์ โดยกลุ่มดังกล่าวเลิกใช้ PowerTaskel และหันมาพึ่งพาตัวแทน Mythic แบบไบนารีมากขึ้นสำหรับการเคลื่อนไหวในแนวขวางภายในเครือข่ายเป้าหมาย

ความคิดสุดท้าย: ภัยคุกคามที่เพิ่มมากขึ้นพร้อมกับเทคนิคที่พัฒนาอย่างต่อเนื่อง

Paper Werewolf ยังคงพัฒนาเทคนิคและขยายคลังอาวุธของตนต่อไป การมุ่งเน้นเฉพาะที่หน่วยงานของรัสเซีย ร่วมกับความสามารถในการก่อกวนและกลยุทธ์การติดเชื้อที่เปลี่ยนแปลงไป ทำให้กลายเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงและต่อเนื่องในอนาคต