Імплантат PowerModul
Зловмисник, відомий як Paper Werewolf, також званий GOFFEE, націлив виключно на російські організації за допомогою нового імпланта під назвою PowerModul. У період з липня по грудень 2024 року їхні атаки були зосереджені на ключових галузях, включаючи ЗМІ, телекомунікації, будівництво, державні установи та енергетичний сектор.
Зміст
Постійний супротивник: кампанії з 2022 року
З 2022 року The Paper Werewolf провів щонайменше сім кампаній. Група постійно зосереджувалася на цінних цілях у державному, енергетичному, фінансовому та медіа-секторах.
Більше ніж шпигунство: руйнівні повороти в ланцюгах атак
Операції Paper Werewolf виходять за рамки традиційного кібершпигунства. Було помічено, що їхні ланцюги атак включають підривні компоненти, такі як зміна паролів облікових записів співробітників, що вказує на намір скалічити операції, а не просто викрасти дані.
Точка входу: фішингові приманки та PowerRAT
Атаки зазвичай починаються з фішингових електронних листів, що містять документи з макросами. Коли жертва отримує доступ до файлу та вмикає макроси, розгортається троян віддаленого доступу на основі PowerShell, відомий як PowerRAT . Це зловмисне програмне забезпечення закладає основу для більш просунутих корисних навантажень.
Спеціальний арсенал шкідливих програм: PowerTaskel, QwakMyAgent і Owowa
Корисне навантаження наступного етапу часто включає PowerTaskel і QwakMyAgent, спеціальні версії агентів на основі Mythic framework. Інший інструмент, Owowa, шкідливий модуль IIS, використовується для викрадення облікових даних Microsoft Outlook, введених через веб-клієнти.
Нова тактика зараження: замасковані виконувані файли в архівах RAR
Остання хвиля атак включає шкідливий архів RAR, що містить виконуваний файл, замаскований під документ PDF або Word із використанням подвійних розширень (наприклад, *.pdf.exe). Після виконання користувачеві показується документ-приманка, поки система тихо заражається у фоновому режимі.
Виконуваний файл насправді є виправленим системним файлом Windows (наприклад, explorer.exe), вбудованим у шкідливий шелл-код, що містить обфускований агент Mythic, який підключається до сервера C2 для подальших інструкцій.
Альтернативний шлях атаки: PowerModul займає центральне місце
В альтернативному методі Paper Werewolf використовує архів RAR із документом Office із макросами, який діє як дроппер для PowerModul. Цей сценарій PowerShell може виконувати додаткові сценарії із сервера C2, що робить його універсальним бекдором.
Payload Parade: Інструментарій для шпигунства та зараження
PowerModul використовується з початку 2024 року, головним чином для завантаження та запуску PowerTaskel. Інші відомі корисні навантаження включають:
- FlashFileGrabber : викрадає файли з флеш-накопичувача та вилучає їх.
- FlashFileGrabberOffline : шукає файли з певними розширеннями на флеш-носіях і зберігає їх локально для подальшого вилучення.
- Черв'як USB : заражає флеш-накопичувачі копією PowerModul для подальшого поширення зловмисного програмного забезпечення.
Можливості PowerTaskel: більше, ніж просто виконання сценаріїв
Подібний до PowerModul, PowerTaskel має більші можливості. Він надсилає повідомлення «checkin» із системною інформацією, виконує команди з сервера C2 і може підвищувати привілеї за допомогою PsExec. В одному випадку було помічено виконання сценарію FolderFileGrabber, який збирає файли з віддалених систем за допомогою жорстко закодованих мережевих шляхів SMB.
Еволюція в тактиці: відхід від PowerTaskel
Вперше Paper Werewolf використав шахрайські документи Word із сценаріями VBA для початкового доступу. Нещодавні висновки також вказують на тактичну зміну: група відходить від PowerTaskel і все більше покладається на бінарних міфічних агентів для бокового пересування в цільових мережах.
Останні думки: зростаюча загроза з розвитком техніки
Paper Werewolf продовжує вдосконалювати свої техніки та розширювати свій арсенал. Ексклюзивна зосередженість на російських організаціях у поєднанні з руйнівними можливостями та стратегією зараження, що розвивається, робить його серйозною та постійною кіберзагрозою на горизонті.
