PicassoLoader Malware
Natukoy ng mga eksperto sa Infosec ang isang serye ng mga kampanyang cyberattack laban sa mga target sa Ukraine at Poland. Nakatuon ang mga cybercriminal sa pagkompromiso sa mga entidad ng gobyerno, organisasyong militar at mga gumagamit ng sibilyan. Nilalayon ng mga kampanyang ito na iligal na makakuha ng sensitibong data at magtatag ng tuluy-tuloy na malayuang pag-access sa mga nakompromisong system.
Sumasaklaw sa isang panahon mula Abril 2022 hanggang Hulyo 2023, ang panghihimasok na campaign na ito ay gumagamit ng iba't ibang taktika. Ginagamit ang mga phishing lure at decoy na dokumento upang linlangin ang mga biktima at mapadali ang pag-deploy ng malware sa pag-download na kilala bilang PicassoLoader. Ang nagbabantang software na ito ay nagsisilbing gateway upang ilunsad ang iba pang hindi ligtas na mga tool, partikular ang Cobalt Strike Beacon at njRAT .
Ang phishing lures ay mga mapanlinlang na pamamaraan na ginagamit upang linlangin ang mga indibidwal sa pagsisiwalat ng sensitibong impormasyon, gaya ng mga username, password, o mga kredensyal ng account. Ang mga decoy na dokumento ay mga disguised na file na idinisenyo upang magmukhang lehitimo ngunit talagang naglalaman ng mga hindi ligtas na kargamento. Sa pamamagitan ng pag-engganyo sa mga biktima na makipag-ugnayan sa mga dokumentong pang-decoy na ito, maaaring isagawa ng mga umaatake ang PicassoLoader downloader sa kanilang mga system.
Kapag matagumpay na na-deploy ang PicassoLoader, nagsisilbi itong conduit para sa susunod na yugto ng pag-atake. Nagbibigay-daan ito sa pag-install at pagpapatupad ng dalawang karagdagang uri ng malware: ang Cobalt Strike Beacon at njRAT. Ang Cobalt Strike Beacon ay isang sopistikadong tool sa pagsubok ng penetration na nagbibigay-daan sa mga umaatake na makakuha ng hindi awtorisadong pag-access at kontrol sa mga nakompromisong system. Tulad ng para sa njRAT, ito ay isang remote access trojan na nagbibigay sa mga umaatake ng hindi awtorisadong malayuang pag-access sa mga nahawaang sistema, na nagpapahintulot sa kanila na magsagawa ng mga malisyosong aktibidad nang hindi natukoy.
Talaan ng mga Nilalaman
Ang PicassoLoader Malware ay Na-deploy bilang Bahagi ng Multistage Infection Chain
Ang mga umaatake sa likod ng PicassoLoader ay gumamit ng isang multistage infection chain upang isagawa ang kanilang mga nakakapinsalang aktibidad. Kasama sa paunang yugto ang paggamit ng mga nakompromisong dokumento ng Microsoft Office, na ang mga format ng Microsoft Excel at PowerPoint file ang pinakakaraniwang ginagamit. Ang mga dokumentong ito ay nagsisilbing panimulang punto para sa pag-atake.
Kasunod ng mga dokumento ng Office, ang isang executable downloader at payload ay nakatago sa loob ng isang image file. Ang taktika na ito ay malamang na ginamit upang gawing mas mahirap ang pagtuklas ng nag-download at payload para sa mga sistema ng seguridad. Sa pamamagitan ng pagtatago sa loob ng isang file ng imahe, nilalayon ng mga umaatake na laktawan ang mga hakbang sa seguridad at pataasin ang mga pagkakataon ng matagumpay na paglusot.
Ang ilan sa mga pag-atakeng ito ay naiugnay sa isang banta na aktor na kilala bilang GhostWriter, na sinusubaybayan din bilang UAC-0057 o UNC1151. Ang mga motibasyon at layunin ng GhostWriter ay pinaniniwalaang umaayon sa mga interes ng gobyerno ng Belarus.
Maraming Target na Pag-atake laban sa Ukraine ang Naobserbahan
Ito ay nagkakahalaga ng pagbanggit na ang isang subset ng mga pag-atake na ito ay naidokumento na sa nakaraang taon ng Computer Emergency Response Team (CERT-UA) ng Ukraine. Isang kapansin-pansing halimbawa ang naganap noong Hulyo 2022, kung saan ginamit ang mga dokumentong PowerPoint na puno ng macro upang maihatid ang malware ng Agent Tesla . Itinampok ng insidenteng ito ang paggamit ng mga macro bilang isang paraan upang ipamahagi ang malware at ikompromiso ang mga system ng mga biktima.
Ang mga chain ng impeksyon na ginagamit sa mga pag-atake na ito ay umaasa sa mga pamamaraan ng social engineering upang kumbinsihin ang mga biktima na paganahin ang mga macro sa loob ng mga dokumento ng Office. Kapag na-enable na ang mga macro, ma-trigger ang isang VBA macro, na humahantong sa pag-deploy ng banta ng PicassoLoader DLL downloader. Ang downloader na ito ay magtatatag ng isang koneksyon sa isang site na kinokontrol ng mga umaatake upang makuha ang susunod na yugto ng payload, na naka-embed sa loob ng isang tila lehitimong file ng imahe. Ang panghuling malware ay nakatago sa loob ng image file na ito.
Ang mga kamakailang pagsisiwalat na ito ng CERT-UA ay kasabay ng kanilang pag-uulat sa ilang mga pagpapatakbo ng phishing na namamahagi ng SmokeLoader malware. Bukod pa rito, natukoy ang isang napakalaking pag-atake, na nagta-target sa mga gumagamit ng Telegram na may layuning makakuha ng hindi awtorisadong kontrol sa kanilang mga account.
Ang GhostWriter ay Isa Lamang sa mga Cybercrime Group na Nagta-target sa Ukraine
Naging target ang Ukraine para sa maraming aktor ng pagbabanta, kabilang ang kilalang grupong Russian nation-state na APT28 . Naobserbahan ang APT28 na gumagamit ng taktika ng pagpapadala ng mga email sa phishing na may mga HTML attachment, nililinlang ang mga tatanggap sa paniniwalang mayroong kahina-hinalang aktibidad sa kanilang UKR.NET at Yahoo! mga account. Ang mga email ay nag-uudyok sa mga user na baguhin ang kanilang mga password ngunit sa halip, ihatid sila sa mga pekeng landing page na idinisenyo upang kolektahin ang kanilang mga kredensyal sa pag-log in.
Ang kamakailang pag-unlad na ito ay bahagi ng isang mas malawak na pattern na naobserbahan sa mga aktibidad ng mga hacker na nauugnay sa Russian military intelligence (GRU). Nagpatibay sila ng 'standard five-phase playbook' sa kanilang mga nakakagambalang operasyon laban sa Ukraine, na nagpapakita ng sadyang pagsisikap na pahusayin ang bilis, sukat, at intensity ng kanilang mga pag-atake.
