Multi-License Discount Quote
Banta sa Database Malware PowerModul Implant

PowerModul Implant

Sa pamamagitan ng Mezo sa Malware, Mga backdoor
Isalin To:
Wikang Filipino

Ang threat actor na kilala bilang Paper Werewolf—tinukoy din bilang GOFFEE—ay eksklusibong nagta-target sa mga organisasyong Ruso gamit ang isang bagong implant na tinatawag na PowerModul. Sa pagitan ng Hulyo at Disyembre 2024, ang kanilang mga pag-atake ay nakatuon sa mga pangunahing industriya, kabilang ang mass media, telekomunikasyon, konstruksiyon, mga entidad ng gobyerno, at sektor ng enerhiya.

Isang Patuloy na Kalaban: Mga Kampanya Mula noong 2022

Ang Paper Werewolf ay nagsagawa ng hindi bababa sa pitong kampanya mula noong 2022. Ang pare-parehong pagtutok ng grupo ay nasa mataas na halaga na mga target sa loob ng sektor ng gobyerno, enerhiya, pananalapi, at media.

Higit pa sa Espionage: Mapanirang Twist sa Attack Chains

Ang mga operasyon ng Paper Werewolf ay higit pa sa tradisyonal na cyber espionage. Napagmasdan ang kanilang mga attack chain na nagsasama ng mga nakakagambalang bahagi, tulad ng pagpapalit ng mga password ng account ng empleyado, na nagpapahiwatig ng layunin na pigilan ang mga operasyon at hindi lamang magnakaw ng data.

Entry Point: Phishing Lures at PowerRAT

Ang mga pag-atake ay karaniwang nagsisimula sa mga phishing na email na naglalaman ng mga macro-laced na dokumento. Kapag na-access ng biktima ang file at na-enable ang mga macro, ang isang PowerShell-based na remote access na Trojan na kilala bilang PowerRAT ay i-deploy. Ang malware na ito ay nagtatakda ng yugto para sa mas advanced na mga payload.

Custom na Malware Arsenal: PowerTaskel, QwakMyAgent at Owowa

Ang mga susunod na yugto ng payload ay kadalasang kinabibilangan ng PowerTaskel at QwakMyAgent, mga custom na bersyon ng mga ahente batay sa Mythic framework. Ang isa pang tool, Owowa, isang malisyosong IIS module, ay ginagamit upang magnakaw ng mga kredensyal ng Microsoft Outlook na ipinasok sa pamamagitan ng mga web client.

Bagong Infection Tactic: Mga Nakatagong Executable sa RAR Archives

Ang pinakabagong wave ng mga pag-atake ay nagtatampok ng nakakahamak na RAR archive na naglalaman ng isang executable na nakatago bilang isang PDF o Word na dokumento gamit ang mga dobleng extension (hal., *.pdf.exe). Kapag naisakatuparan, ang isang dokumento ng decoy ay ipinapakita sa gumagamit habang ang system ay tahimik na nahawahan sa background.

Ang executable ay talagang isang naka-patch na Windows system file (tulad ng explorer.exe), na naka-embed sa malisyosong shellcode na naglalaman ng obfuscated Mythic agent, na kumokonekta sa C2 server para sa karagdagang mga tagubilin.

Kahaliling Ruta ng Pag-atake: Nasa Gitnang Yugto ang PowerModul

Sa isang alternatibong paraan, ang Paper Werewolf ay gumagamit ng RAR archive na may macro-laced Office na dokumento na nagsisilbing dropper para sa PowerModul. Ang PowerShell script na ito ay maaaring magsagawa ng mga karagdagang script mula sa C2 server, na ginagawa itong isang versatile na backdoor.

Payload Parade: Isang Toolkit para sa Espionage at Impeksyon

Ginagamit na ang PowerModul mula noong unang bahagi ng 2024, pangunahin sa pag-download at pagpapatakbo ng PowerTaskel. Kabilang sa iba pang mga kilalang payload ang:

  • FlashFileGrabber : Nagnanakaw ng mga file mula sa mga flash drive at inaalis ang mga ito.
  • FlashFileGrabberOffline : Naghahanap ng mga file na may mga partikular na extension sa flash media at lokal na iniimbak ang mga ito para sa pag-exfiltration sa ibang pagkakataon.
  • USB Worm : Nakakahawa sa mga flash drive gamit ang isang kopya ng PowerModul para mas maikalat pa ang malware.

Mga Kakayahan ng PowerTaskel: Higit pa sa Pagpapatupad ng Script

Habang katulad ng PowerModul, ang PowerTaskel ay mas may kakayahan. Nagpapadala ito ng mensaheng 'checkin' na may impormasyon ng system, nagpapatakbo ng mga command mula sa C2 server, at maaaring magpalaki ng mga pribilehiyo gamit ang PsExec. Sa isang kaso, nakita itong nagpapatupad ng script ng FolderFileGrabber na nangongolekta ng mga file mula sa mga malalayong system gamit ang mga hardcoded na SMB network path.

Ebolusyon sa Mga Taktika: Pag-alis sa PowerTaskel

Sa unang pagkakataon, gumamit ang Paper Werewolf ng mga mapanlinlang na dokumento ng Word na may mga script ng VBA para sa paunang pag-access. Ang mga kamakailang natuklasan ay nagpapahiwatig din ng isang taktikal na pagbabago, kung saan ang grupo ay lumayo sa PowerTaskel at lalong umaasa sa binary Mythic na ahente para sa lateral na paggalaw sa loob ng mga target na network.

Mga Pangwakas na Kaisipan: Isang Lumalagong Banta na may Nagbabagong Mga Teknik

Patuloy na pinipino ng Paper Werewolf ang mga diskarte nito at pinalawak ang arsenal nito. Ang eksklusibong pagtutok sa mga entity ng Russia, na sinamahan ng mga nakakagambalang kakayahan at isang umuusbong na diskarte sa impeksyon, ay ginagawa itong isang seryoso at patuloy na banta sa cyber sa abot-tanaw.

Trending

Pinaka Nanood

Naglo-load...