Phần mềm độc hại PicassoLoader

Các chuyên gia của Infosec đã xác định được một loạt chiến dịch tấn công mạng nhằm vào các mục tiêu ở Ukraine và Ba Lan. Tội phạm mạng tập trung vào việc xâm phạm các tổ chức chính phủ, tổ chức quân sự và người dùng dân sự. Các chiến dịch này nhằm thu thập dữ liệu nhạy cảm một cách bất hợp pháp và thiết lập quyền truy cập từ xa liên tục vào các hệ thống bị xâm nhập.

Kéo dài từ tháng 4 năm 2022 đến tháng 7 năm 2023, chiến dịch xâm nhập này sử dụng nhiều chiến thuật khác nhau. Mồi nhử lừa đảo và tài liệu mồi nhử được sử dụng để đánh lừa nạn nhân và tạo điều kiện thuận lợi cho việc triển khai phần mềm độc hại trình tải xuống được gọi là PicassoLoader. Phần mềm đe dọa này đóng vai trò là cửa ngõ để khởi chạy các công cụ không an toàn khác, cụ thể là Cobalt Strike Beacon và njRAT .

Mồi nhử lừa đảo là các kỹ thuật lừa đảo được sử dụng để lừa các cá nhân tiết lộ thông tin nhạy cảm, chẳng hạn như tên người dùng, mật khẩu hoặc thông tin đăng nhập tài khoản. Tài liệu mồi nhử là các tệp ngụy trang được thiết kế để có vẻ hợp pháp nhưng thực chất lại chứa các tải trọng không an toàn. Bằng cách lôi kéo nạn nhân tương tác với các tài liệu mồi nhử này, kẻ tấn công có thể thực thi trình tải xuống PicassoLoader trên hệ thống của chúng.

Khi PicassoLoader được triển khai thành công, nó sẽ đóng vai trò là đường dẫn cho giai đoạn tiếp theo của cuộc tấn công. Nó cho phép cài đặt và thực thi hai loại phần mềm độc hại khác: Cobalt Strike Beacon và njRAT. Cobalt Strike Beacon là một công cụ kiểm tra thâm nhập tinh vi cho phép kẻ tấn công giành quyền truy cập trái phép và kiểm soát các hệ thống bị xâm nhập. Đối với njRAT, đây là một trojan truy cập từ xa cung cấp cho kẻ tấn công quyền truy cập từ xa trái phép vào hệ thống bị nhiễm, cho phép chúng thực hiện các hoạt động độc hại mà không bị phát hiện.

Phần mềm độc hại PicassoLoader được triển khai như một phần của chuỗi lây nhiễm nhiều tầng

Những kẻ tấn công đằng sau PicassoLoader đã sử dụng chuỗi lây nhiễm nhiều tầng để thực hiện các hoạt động gây hại của chúng. Giai đoạn ban đầu liên quan đến việc sử dụng các tài liệu Microsoft Office bị xâm nhập, với các định dạng tệp Microsoft Excel và PowerPoint được sử dụng phổ biến nhất. Những tài liệu này đóng vai trò là điểm khởi đầu cho cuộc tấn công.

Sau các tài liệu Office, trình tải xuống có thể thực thi và tải trọng được ẩn trong một tệp hình ảnh. Chiến thuật này có thể được sử dụng để làm cho việc phát hiện trình tải xuống và tải trọng trở nên khó khăn hơn đối với các hệ thống bảo mật. Bằng cách ẩn trong một tệp hình ảnh, những kẻ tấn công nhằm mục đích vượt qua các biện pháp bảo mật và tăng cơ hội xâm nhập thành công.

Một số cuộc tấn công này được cho là do tác nhân đe dọa được gọi là GhostWriter, còn được theo dõi là UAC-0057 hoặc UNC1151. Động cơ và mục tiêu của GhostWriter được cho là phù hợp với lợi ích của chính phủ Bêlarut.

Nhiều cuộc tấn công có mục tiêu chống lại Ukraine đã được quan sát

Điều đáng nói là một tập hợp con của các cuộc tấn công này đã được ghi lại trong năm qua bởi Nhóm Ứng phó Khẩn cấp Máy tính của Ukraine (CERT-UA). Một ví dụ đáng chú ý đã xảy ra vào tháng 7 năm 2022, trong đó các tài liệu PowerPoint chứa nhiều macro được sử dụng để phân phối phần mềm độc hại Agent Tesla . Sự cố này làm nổi bật việc sử dụng macro như một phương tiện để phân phối phần mềm độc hại và xâm phạm hệ thống của nạn nhân.

Chuỗi lây nhiễm được sử dụng trong các cuộc tấn công này dựa trên các phương pháp kỹ thuật xã hội để thuyết phục nạn nhân kích hoạt macro trong tài liệu Office. Khi các macro được bật, một macro VBA sẽ được kích hoạt, dẫn đến việc triển khai mối đe dọa trình tải xuống DLL PicassoLoader. Sau đó, trình tải xuống này sẽ thiết lập kết nối với một trang web do những kẻ tấn công kiểm soát để truy xuất tải trọng giai đoạn tiếp theo, tải trọng này được nhúng trong một tệp hình ảnh có vẻ hợp pháp. Phần mềm độc hại cuối cùng được che giấu trong tệp hình ảnh này.

Những tiết lộ gần đây của CERT-UA trùng khớp với báo cáo của họ về một số hoạt động lừa đảo phân phối phần mềm độc hại SmokeLoader. Ngoài ra, một cuộc tấn công smishing đã được xác định, nhắm mục tiêu người dùng Telegram với mục tiêu giành quyền kiểm soát trái phép tài khoản của họ.

GhostWriter chỉ là một trong những nhóm tội phạm mạng nhắm vào Ukraine

Ukraine đã trở thành mục tiêu của nhiều kẻ đe dọa, bao gồm cả nhóm quốc gia-nhà nước Nga khét tiếng APT28 . Người ta đã quan sát thấy APT28 sử dụng chiến thuật gửi email lừa đảo có tệp đính kèm HTML, lừa người nhận tin rằng có hoạt động đáng ngờ trong UKR.NET và Yahoo! tài khoản. Các email nhắc người dùng thay đổi mật khẩu nhưng thay vào đó, dẫn họ đến các trang đích giả mạo được thiết kế để thu thập thông tin đăng nhập của họ.

Sự phát triển gần đây này là một phần của mô hình rộng lớn hơn được quan sát thấy trong các hoạt động của các tin tặc có liên quan đến tình báo quân đội Nga (GRU). Họ đã áp dụng 'sổ sách năm giai đoạn tiêu chuẩn' trong các hoạt động gây rối chống lại Ukraine, thể hiện nỗ lực có chủ ý nhằm tăng cường tốc độ, quy mô và cường độ các cuộc tấn công của họ.