PowerModul İmplantı
Paper Werewolf olarak bilinen tehdit aktörü (aynı zamanda GOFFEE olarak da bilinir) PowerModul adlı yeni bir implant kullanarak yalnızca Rus kuruluşlarını hedef aldı. Temmuz ve Aralık 2024 arasında saldırıları kitle iletişim araçları, telekomünikasyon, inşaat, hükümet kuruluşları ve enerji sektörü gibi önemli endüstrilere odaklandı.
İçindekiler
Kalıcı Bir Rakip: 2022’den Bu Yana Kampanyalar
Paper Werewolf, 2022'den bu yana en az yedi kampanya yürüttü. Grubun tutarlı odağı, hükümet, enerji, finans ve medya sektörlerindeki yüksek değerli hedefler oldu.
Casusluktan Daha Fazlası: Saldırı Zincirlerindeki Yıkıcı Dönüşler
Paper Werewolf'un operasyonları geleneksel siber casusluğun ötesine geçiyor. Saldırı zincirlerinin, çalışan hesap şifrelerini değiştirmek gibi yıkıcı bileşenler içerdiği gözlemlendi ve bu, yalnızca veri çalmak değil, operasyonları çökertmek niyetini gösteriyor.
Giriş Noktası: Kimlik Avı Yemleri ve PowerRAT
Saldırılar genellikle makro içeren belgeler içeren kimlik avı e-postalarıyla başlar. Kurban dosyaya eriştiğinde ve makroları etkinleştirdiğinde, PowerRAT olarak bilinen PowerShell tabanlı bir uzaktan erişim Truva Atı dağıtılır. Bu kötü amaçlı yazılım, daha gelişmiş yükler için ortamı hazırlar.
Özel Kötü Amaçlı Yazılım Cephaneliği: PowerTaskel, QwakMyAgent ve Owowa
Sonraki aşama yükleri genellikle PowerTaskel ve QwakMyAgent'ı içerir, Mythic çerçevesine dayalı ajanların özel sürümleri. Kötü amaçlı bir IIS modülü olan başka bir araç olan Owowa, web istemcileri aracılığıyla girilen Microsoft Outlook kimlik bilgilerini çalmak için kullanılır.
Yeni Enfeksiyon Taktiği: RAR Arşivlerindeki Gizlenmiş Yürütülebilir Dosyalar
Son saldırı dalgası, çift uzantılar (örneğin, *.pdf.exe) kullanarak PDF veya Word belgesi olarak gizlenmiş yürütülebilir bir dosya içeren kötü amaçlı bir RAR arşivini içeriyor. Yürütme sırasında, sistem arka planda sessizce enfekte olurken kullanıcıya sahte bir belge gösteriliyor.
Çalıştırılabilir dosya aslında, içinde gizlenmiş bir Mythic ajanı bulunan kötü amaçlı bir kabuk kodu bulunan, yamalı bir Windows sistem dosyasıdır (explorer.exe gibi) ve daha fazla talimat için C2 sunucusuna bağlanır.
Alternatif Saldırı Rotası: PowerModul Sahnenin Merkezinde
Alternatif bir yöntemde Paper Werewolf, PowerModul için bir damlalık görevi gören makro bağcıklı bir Office belgesine sahip bir RAR arşivi kullanır. Bu PowerShell betiği, C2 sunucusundan ek betikler yürütebilir ve bu da onu çok yönlü bir arka kapı haline getirir.
Yük Geçidi: Casusluk ve Enfeksiyon İçin Bir Araç Takımı
PowerModul, 2024'ün başından beri, öncelikli olarak PowerTaskel'ı indirmek ve çalıştırmak için kullanılıyor. Diğer önemli yükler şunlardır:
- FlashFileGrabber : Flash belleklerden dosyaları çalar ve dışarı aktarır.
- FlashFileGrabberOffline : Flash medyada belirli uzantılara sahip dosyaları arar ve daha sonra dışarı aktarmak üzere bunları yerel olarak depolar.
- USB Solucanı : Flash bellekleri PowerModul'un bir kopyasıyla enfekte ederek kötü amaçlı yazılımın daha fazla yayılmasını sağlar.
PowerTaskel’in Yetenekleri: Sadece Komut Dosyası Çalıştırmaktan Daha Fazlası
PowerModul'a benzer olsa da PowerTaskel daha yeteneklidir. Sistem bilgileriyle bir 'checkin' mesajı gönderir, C2 sunucusundan komutlar çalıştırır ve PsExec kullanarak ayrıcalıkları yükseltebilir. Bir durumda, sabit kodlanmış SMB ağ yollarını kullanarak uzak sistemlerden dosya toplayan bir FolderFileGrabber betiğini çalıştırırken görüldü.
Taktiklerde Evrim: PowerTaskel’den Uzaklaşma
Paper Werewolf ilk kez ilk erişim için VBA betikleriyle sahte Word belgeleri kullandı. Son bulgular ayrıca, grubun PowerTaskel'dan uzaklaşması ve hedeflenen ağlar içinde yanal hareket için giderek daha fazla ikili Mythic ajanlarına güvenmesiyle taktiksel bir değişime işaret ediyor.
Son Düşünceler: Gelişen Tekniklerle Büyüyen Bir Tehdit
Paper Werewolf tekniklerini geliştirmeye ve cephaneliğini genişletmeye devam ediyor. Rus varlıklarına özel odaklanma, bozucu yetenekler ve gelişen bir enfeksiyon stratejisiyle birleşince, ufukta ciddi ve kalıcı bir siber tehdit haline geliyor.
