Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Cấy ghép PowerModul

Cấy ghép PowerModul

Đến năm Mezo năm Phần mềm độc hại, Cửa sau
Dịch sang:
Tiếng Việt Nam

Tác nhân đe dọa được gọi là Paper Werewolf—còn được gọi là GOFFEE—đã nhắm mục tiêu độc quyền vào các tổ chức của Nga bằng cách sử dụng một loại cấy ghép mới có tên là PowerModul. Từ tháng 7 đến tháng 12 năm 2024, các cuộc tấn công của chúng tập trung vào các ngành công nghiệp chính, bao gồm phương tiện truyền thông đại chúng, viễn thông, xây dựng, các tổ chức chính phủ và lĩnh vực năng lượng.

Kẻ thù dai dẳng: Các chiến dịch từ năm 2022

Paper Werewolf đã thực hiện ít nhất bảy chiến dịch kể từ năm 2022. Nhóm này luôn tập trung vào các mục tiêu có giá trị cao trong các lĩnh vực chính phủ, năng lượng, tài chính và truyền thông.

Hơn cả gián điệp: Những bước ngoặt hủy diệt trong chuỗi tấn công

Hoạt động của Paper Werewolf vượt xa hoạt động gián điệp mạng truyền thống. Chuỗi tấn công của chúng được quan sát thấy kết hợp các thành phần gây gián đoạn, chẳng hạn như thay đổi mật khẩu tài khoản của nhân viên, cho thấy ý định làm tê liệt hoạt động chứ không chỉ đánh cắp dữ liệu.

Điểm vào: Mồi nhử lừa đảo và PowerRAT

Các cuộc tấn công thường bắt đầu bằng email lừa đảo có chứa các tài liệu có macro. Khi nạn nhân truy cập tệp và bật macro, Trojan truy cập từ xa dựa trên PowerShell được gọi là PowerRAT sẽ được triển khai. Phần mềm độc hại này tạo tiền đề cho các tải trọng nâng cao hơn.

Kho vũ khí phần mềm độc hại tùy chỉnh: PowerTaskel, QwakMyAgent và Owowa

Các tải trọng giai đoạn tiếp theo thường bao gồm PowerTaskel và QwakMyAgent, các phiên bản tùy chỉnh của các tác nhân dựa trên khuôn khổ Mythic. Một công cụ khác, Owowa, một mô-đun IIS độc hại, được sử dụng để đánh cắp thông tin đăng nhập Microsoft Outlook được nhập thông qua các máy khách web.

Chiến thuật lây nhiễm mới: Các tệp thực thi ngụy trang trong kho lưu trữ RAR

Làn sóng tấn công mới nhất có một tệp RAR độc hại chứa một tệp thực thi được ngụy trang thành tài liệu PDF hoặc Word bằng cách sử dụng phần mở rộng kép (ví dụ: *.pdf.exe). Khi thực thi, một tài liệu giả sẽ được hiển thị cho người dùng trong khi hệ thống bị nhiễm độc âm thầm ở chế độ nền.

Tệp thực thi thực chất là tệp hệ thống Windows đã vá (như explorer.exe), được nhúng mã shell độc hại chứa tác nhân Mythic được che giấu, kết nối với máy chủ C2 để biết thêm hướng dẫn.

Lộ trình tấn công thay thế: PowerModul chiếm vị trí trung tâm

Trong một phương pháp thay thế, Paper Werewolf sử dụng một kho lưu trữ RAR với một tài liệu Office có macro đóng vai trò như một dropper cho PowerModul. Tập lệnh PowerShell này có thể thực thi các tập lệnh bổ sung từ máy chủ C2, biến nó thành một backdoor đa năng.

Payload Parade: Một bộ công cụ cho hoạt động gián điệp và lây nhiễm

PowerModul đã được sử dụng từ đầu năm 2024, chủ yếu để tải xuống và chạy PowerTaskel. Các tải trọng đáng chú ý khác bao gồm:

  • FlashFileGrabber : Đánh cắp tập tin từ ổ đĩa flash và trích xuất chúng.
  • FlashFileGrabberOffline : Tìm kiếm các tập tin có phần mở rộng cụ thể trên phương tiện flash và lưu trữ chúng cục bộ để trích xuất sau này.
  • Sâu USB : Lây nhiễm ổ đĩa flash bằng bản sao của PowerModul để phát tán phần mềm độc hại xa hơn.

Khả năng của PowerTaskel: Không chỉ là thực thi tập lệnh

Mặc dù tương tự như PowerModul, PowerTaskel có khả năng hơn. Nó gửi tin nhắn 'checkin' với thông tin hệ thống, chạy lệnh từ máy chủ C2 và có thể tăng quyền bằng PsExec. Trong một trường hợp, nó được nhìn thấy đang thực thi một tập lệnh FolderFileGrabber thu thập các tệp từ các hệ thống từ xa bằng các đường dẫn mạng SMB được mã hóa cứng.

Sự tiến hóa trong chiến thuật: Chuyển hướng khỏi PowerTaskel

Lần đầu tiên, Paper Werewolf đã sử dụng các tài liệu Word gian lận với các tập lệnh VBA để truy cập ban đầu. Những phát hiện gần đây cũng chỉ ra một sự thay đổi chiến thuật, với việc nhóm này rời xa PowerTaskel và ngày càng dựa vào các tác nhân Mythic nhị phân để di chuyển ngang trong các mạng mục tiêu.

Suy nghĩ cuối cùng: Mối đe dọa ngày càng tăng với các kỹ thuật phát triển

Paper Werewolf tiếp tục cải tiến kỹ thuật và mở rộng kho vũ khí của mình. Việc tập trung độc quyền vào các thực thể của Nga, kết hợp với khả năng gây gián đoạn và chiến lược lây nhiễm đang phát triển, khiến nó trở thành mối đe dọa mạng nghiêm trọng và dai dẳng trong tương lai.

xu hướng

Lừa đảo qua email Airdrop USDT của VoxFlowG

Lừa đảo, Thư rác
Với sự gia tăng của tiền điện tử, những kẻ lừa đảo đã phát triển các chiến thuật lừa đảo ngày càng tinh vi hơn để lừa người dùng cho đi tài sản kỹ thuật số của họ. Một trong những kế hoạch lừa đảo như vậy là trò lừa đảo qua email VoxFlowG USDT Airdrop, nhắm vào những cá nhân không nghi ngờ bằng cách hứa hẹn Tether (USDT) miễn phí. Chiến thuật này được thiết kế để thu tiền từ ví tiền điện tử của...

Chase - Chuyển khoản đang được xử lý và sẽ bị khấu...

Lừa đảo, Thư rác
Internet chứa đầy những cơ hội và tiện ích, nhưng cũng là nơi nảy sinh các mối đe dọa mạng. Những kẻ lừa đảo liên tục nghĩ ra những cách mới để lừa người dùng, đánh cắp dữ liệu nhạy cảm và khai thác các tài khoản tài chính. Một trong những kế hoạch như vậy là trò lừa đảo qua email 'Chase - Transfer Is Processing And Will Be Deducted', nhắm vào những nạn nhân không nghi ngờ bằng cách mạo danh...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,839
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...