Зловмисне програмне забезпечення PicassoLoader
Експерти Infosec ідентифікували серію кампаній кібератак на цілі в Україні та Польщі. Кіберзлочинці зосереджені на компрометації державних установ, військових організацій і цивільних користувачів. Ці кампанії спрямовані на незаконне отримання конфіденційних даних і встановлення постійного віддаленого доступу до скомпрометованих систем.
Ця кампанія вторгнення, що охоплює період з квітня 2022 року по липень 2023 року, використовує різні тактики. Фішингові приманки та документи-приманки використовуються, щоб ввести в оману жертв і полегшити розгортання зловмисного програмного забезпечення, відомого як PicassoLoader. Це загрозливе програмне забезпечення служить шлюзом для запуску інших небезпечних інструментів, зокрема Cobalt Strike Beacon і njRAT .
Фішингові спокуси – це оманливі методи, які використовуються, щоб оманою змусити людей розкрити конфіденційну інформацію, таку як імена користувачів, паролі або облікові дані облікового запису. Документи-приманки — це замасковані файли, створені так, щоб виглядати легітимними, але насправді містять небезпечні корисні дані. Спонукаючи жертв взаємодіяти з цими документами-приманками, зловмисники можуть запустити програму завантаження PicassoLoader у їхніх системах.
Після успішного розгортання PicassoLoader він служить каналом для наступного етапу атаки. Він дає змогу встановлювати та запускати два додаткових типи шкідливих програм: Cobalt Strike Beacon і njRAT. Cobalt Strike Beacon — це складний інструмент тестування на проникнення, який дозволяє зловмисникам отримати несанкціонований доступ і контролювати скомпрометовані системи. Що стосується njRAT, то це троян віддаленого доступу, який надає зловмисникам несанкціонований віддалений доступ до заражених систем, дозволяючи їм здійснювати зловмисні дії непоміченими.
Зміст
Зловмисне програмне забезпечення PicassoLoader розгортається як частина багатоетапного ланцюга зараження
Зловмисники, які стоять за PicassoLoader, використовували багатоетапний ланцюжок зараження для виконання своїх шкідливих дій. На початковому етапі використовувалися скомпрометовані документи Microsoft Office, причому найчастіше використовувалися формати файлів Microsoft Excel і PowerPoint. Ці документи стали відправною точкою для нападу.
Після документів Office виконуваний завантажувач і корисне навантаження приховані у файлі зображення. Цю тактику, ймовірно, було використано, щоб зробити виявлення завантажувача та корисного навантаження більш складним для систем безпеки. Ховаючись у файлі зображення, зловмисники прагнуть обійти заходи безпеки та підвищити шанси на успішне проникнення.
Деякі з цих атак приписують загрозі, відомому як GhostWriter, також відстежується як UAC-0057 або UNC1151. Вважається, що мотиви та цілі GhostWriter узгоджуються з інтересами білоруського уряду.
Зафіксовано численні цілеспрямовані напади на Україну
Варто зазначити, що частина цих атак уже була задокументована минулого року Українською групою реагування на комп’ютерні надзвичайні ситуації (CERT-UA). Один помітний приклад стався в липні 2022 року, коли документи PowerPoint із макросами використовувалися для доставки зловмисного програмного забезпечення Agent Tesla . Цей інцидент підкреслив використання макросів як засобу розповсюдження зловмисного програмного забезпечення та компрометації систем жертв.
Ланцюги зараження, які використовуються в цих атаках, покладаються на методи соціальної інженерії, щоб переконати жертв увімкнути макроси в документах Office. Після ввімкнення макросів запускається макрос VBA, що призводить до розгортання загрози завантажувача PicassoLoader DLL. Потім цей завантажувач встановлює з’єднання із сайтом, контрольованим зловмисниками, щоб отримати корисне навантаження наступного етапу, яке вбудовано в, здавалося б, законний файл зображення. Остаточне шкідливе програмне забезпечення приховано в цьому файлі зображення.
Ці нещодавні оприлюднення CERT-UA збігаються з їхніми звітами про кілька фішингових операцій з розповсюдження шкідливого програмного забезпечення SmokeLoader. Крім того, було виявлено смішинг-атаку, спрямовану на користувачів Telegram з метою отримання несанкціонованого контролю над їхніми обліковими записами.
GhostWriter — лише одна з кіберзлочинних груп, націлених на Україну
Україна стала мішенню для багатьох загрозливих акторів, у тому числі сумнозвісної російської національно-державної групи APT28 . Було помічено, що APT28 використовує тактику надсилання фішингових електронних листів із вкладеннями HTML, обманом змушуючи одержувачів повірити в підозрілу активність у їхніх UKR.NET і Yahoo! облікові записи. Електронні листи спонукають користувачів змінити свої паролі, але замість цього спрямовують їх на підроблені цільові сторінки, призначені для збору облікових даних для входу.
Ця нещодавня подія є частиною ширшої моделі діяльності хакерів, пов’язаних із російською військовою розвідкою (ГРУ). Вони взяли на озброєння «стандартну п’ятиетапну схему» у своїх підривних операціях проти України, демонструючи цілеспрямовані зусилля для збільшення швидкості, масштабу та інтенсивності своїх атак.
