PicassoLoader 恶意软件

信息安全专家发现了一系列针对乌克兰和波兰目标的网络攻击活动。网络犯罪分子的重点是危害政府实体、军事组织和民用用户。这些活动旨在非法获取敏感数据并建立对受感染系统的持续远程访问。

这次入侵活动的时间跨度为2022年4月至2023年7月，采用了多种策略。网络钓鱼诱饵和诱饵文档用于欺骗受害者并促进名为 PicassoLoader 的下载器恶意软件的部署。这种威胁软件充当启动其他不安全工具的网关，特别是Cobalt Strike Beacon 和njRAT 。

网络钓鱼诱饵是一种欺骗性技术，用于诱骗个人泄露敏感信息，例如用户名、密码或帐户凭据。诱饵文档是伪装的文件，旨在看似合法但实际上包含不安全的有效负载。通过诱使受害者与这些诱饵文档进行交互，攻击者可以在其系统上执行 PicassoLoader 下载程序。

一旦 PicassoLoader 成功部署，它将充当下一阶段攻击的渠道。它允许安装和执行另外两种类型的恶意软件：Cobalt Strike Beacon 和 njRAT。 Cobalt Strike Beacon 是一种复杂的渗透测试工具，允许攻击者获得对受感染系统的未经授权的访问和控制。至于njRAT，它是一种远程访问木马，可为攻击者提供对受感染系统的未经授权的远程访问，使他们能够在未被检测到的情况下执行恶意活动。

PicassoLoader 恶意软件作为多级感染链的一部分进行部署

PicassoLoader 背后的攻击者利用多级感染链来开展有害活动。最初阶段涉及使用受损的 Microsoft Office 文档，其中最常用的是 Microsoft Excel 和 PowerPoint 文件格式。这些文件是攻击的起点。

在 Office 文档之后，可执行下载程序和有效负载隐藏在图像文件中。采用这种策略可能是为了使安全系统对下载器和有效负载的检测更具挑战性。通过隐藏在图像文件中，攻击者的目的是绕过安全措施并增加成功渗透的机会。

其中一些攻击归因于名为 GhostWriter 的威胁行为者，也被追踪为 UAC-0057 或 UNC1151。据信 GhostWriter 的动机和目标符合白俄罗斯政府的利益。

观察到多起针对乌克兰的针对性袭击

值得一提的是，乌克兰计算机紧急响应小组 (CERT-UA) 在过去一年中已记录了其中一部分攻击。一个值得注意的例子发生在 2022 年 7 月，其中使用包含宏的 PowerPoint 文档来传播Agent Tesla恶意软件。此事件凸显了使用宏作为传播恶意软件和危害受害者系统的手段。

这些攻击中使用的感染链依靠社会工程方法来说服受害者在 Office 文档中启用宏。一旦启用宏，就会触发 VBA 宏，从而导致部署 PicassoLoader DLL 下载器威胁。然后，该下载程序与攻击者控制的站点建立连接，以检索嵌入在看似合法图像文件中的下一阶段有效负载。最终的恶意软件隐藏在该图像文件中。

CERT-UA 最近披露的这些信息与他们对几个传播 SmokeLoader 恶意软件的网络钓鱼操作的报告相吻合。此外，还发现了针对 Telegram 用户的网络诈骗攻击，其目的是获得对其帐户的未经授权的控制。

GhostWriter 只是针对乌克兰的网络犯罪组织之一

乌克兰已成为多个威胁行为者的目标，其中包括臭名昭著的俄罗斯民族国家组织APT28 。据观察，APT28 采用发送带有 HTML 附件的网络钓鱼电子邮件的策略，欺骗收件人相信他们的 UKR.NET 和 Yahoo! 中存在可疑活动。账户。这些电子邮件提示用户更改密码，但却引导他们进入旨在收集登录凭据的虚假登陆页面。

这一最新进展是俄罗斯军事情报 (GRU) 相关黑客活动中观察到的更广泛模式的一部分。他们在针对乌克兰的破坏性行动中采用了“标准五阶段战术”，表明他们有意提高攻击的速度、规模和强度。