PowerModul植入物
名为 Paper Werewolf(又称 GOFFEE)的威胁行为者一直使用名为 PowerModul 的新型植入体专门攻击俄罗斯组织。2024 年 7 月至 12 月期间,他们的攻击锁定了大众媒体、电信、建筑、政府机构和能源等关键行业。
目录
持久的对手:自 2022 年以来的行动
“纸狼人”自 2022 年以来已开展了至少七次活动。该组织一直专注于政府、能源、金融和媒体领域的高价值目标。
不仅仅是间谍活动:攻击链中的破坏性转折
Paper Werewolf 的行动远不止传统的网络间谍活动。据观察,他们的攻击链包含了一些破坏性操作,例如更改员工账户密码,这表明其意图不仅仅是窃取数据,还旨在破坏运营。
入口点:网络钓鱼诱饵和 PowerRAT
此类攻击通常始于包含宏文档的网络钓鱼电子邮件。一旦受害者访问该文件并启用宏,就会部署基于 PowerShell 的远程访问木马PowerRAT 。该恶意软件为更高级的有效载荷奠定了基础。
自定义恶意软件库:PowerTaskel、QwakMyAgent 和 Owowa
下一阶段的有效载荷通常包括 PowerTaskel 和 QwakMyAgent,它们是基于 Mythic 框架的代理的自定义版本。另一个工具 Owowa 是一个恶意 IIS 模块,用于窃取通过 Web 客户端输入的 Microsoft Outlook 凭据。
新的感染策略:RAR 文件中伪装的可执行文件
最新一波攻击以恶意 RAR 压缩包为特色,其中包含一个伪装成 PDF 或 Word 文档的可执行文件,并使用双重扩展名(例如 *.pdf.exe)。执行后,系统会在后台悄无声息地感染病毒,同时向用户显示一个诱饵文档。
该可执行文件实际上是一个修补过的 Windows 系统文件(如 explorer.exe),其中嵌入了包含混淆的 Mythic 代理的恶意 shellcode,该代理连接到 C2 服务器以获取进一步的指令。
替代攻击路线:PowerModul 占据中心位置
在另一种方法中,Paper Werewolf 使用一个包含宏的 Office 文档的 RAR 压缩包,该文档充当 PowerModul 的植入器。此 PowerShell 脚本可以从 C2 服务器执行其他脚本,使其成为一个多功能后门。
Payload Parade:间谍和感染工具包
PowerModul 自 2024 年初开始投入使用,主要用于下载和运行 PowerTaskel。其他值得注意的有效载荷包括:
- FlashFileGrabber :从闪存驱动器窃取文件并将其泄露。
- FlashFileGrabberOffline :在闪存介质上搜索具有特定扩展名的文件并将其存储在本地以供以后提取。
- USB 蠕虫:使用 PowerModul 副本感染闪存驱动器,以进一步传播恶意软件。
PowerTaskel 的功能:不仅仅是脚本执行
PowerTaskel 与 PowerModul 类似,但功能更强大。它会发送包含系统信息的“checkin”消息,从 C2 服务器运行命令,并可以使用 PsExec 提升权限。在一个案例中,它被发现执行了一个 FolderFileGrabber 脚本,该脚本使用硬编码的 SMB 网络路径从远程系统收集文件。
战术演进:告别 PowerTaskel
Paper Werewolf 首次使用带有 VBA 脚本的欺诈性 Word 文档进行初始访问。最近的调查结果还表明,该组织正在转变策略,逐渐放弃 PowerTaskel,转而越来越依赖二进制 Mythic 代理在目标网络中进行横向移动。
最后的想法:威胁日益加剧,技术也不断进步
纸狼人持续精进其技术,扩充其武器库。其专注于俄罗斯实体,加之其破坏能力和不断演变的感染策略,使其成为一个严重且持续的网络威胁。
