PicassoLoader 惡意軟件

信息安全專家發現了一系列針對烏克蘭和波蘭目標的網絡攻擊活動。網絡犯罪分子的重點是危害政府實體、軍事組織和民用用戶。這些活動旨在非法獲取敏感數據並建立對受感染系統的持續遠程訪問。

這次入侵活動的時間跨度為2022年4月至2023年7月，採用了多種策略。網絡釣魚誘餌和誘餌文檔用於欺騙受害者並促進名為 PicassoLoader 的下載器惡意軟件的部署。這種威脅軟件充當啟動其他不安全工具的網關，特別是Cobalt Strike Beacon 和njRAT 。

網絡釣魚誘餌是一種欺騙性技術，用於誘騙個人洩露敏感信息，例如用戶名、密碼或帳戶憑據。誘餌文檔是偽裝的文件，旨在看似合法但實際上包含不安全的有效負載。通過誘使受害者與這些誘餌文檔進行交互，攻擊者可以在其係統上執行 PicassoLoader 下載程序。

一旦 PicassoLoader 成功部署，它將充當下一階段攻擊的渠道。它允許安裝和執行另外兩種類型的惡意軟件：Cobalt Strike Beacon 和 njRAT。 Cobalt Strike Beacon 是一種複雜的滲透測試工具，允許攻擊者獲得對受感染系統的未經授權的訪問和控制。至於njRAT，它是一種遠程訪問木馬，為攻擊者提供對受感染系統的未經授權的遠程訪問，使他們能夠在未被檢測到的情況下執行惡意活動。

PicassoLoader 惡意軟件作為多級感染鏈的一部分進行部署

PicassoLoader 背後的攻擊者利用多級感染鏈來開展有害活動。最初階段涉及使用受損的 Microsoft Office 文檔，其中最常用的是 Microsoft Excel 和 PowerPoint 文件格式。這些文件是攻擊的起點。

在 Office 文檔之後，可執行下載程序和有效負載隱藏在圖像文件中。採用這種策略可能是為了使安全系統對下載器和有效負載的檢測更具挑戰性。通過隱藏在圖像文件中，攻擊者的目的是繞過安全措施並增加成功滲透的機會。

其中一些攻擊歸因於名為 GhostWriter 的威脅行為者，也被追踪為 UAC-0057 或 UNC1151。據信 GhostWriter 的動機和目標符合白俄羅斯政府的利益。

觀察到多起針對烏克蘭的針對性襲擊

值得一提的是，烏克蘭計算機緊急響應小組 (CERT-UA) 在過去一年中已記錄了其中一部分攻擊。一個值得注意的例子發生在 2022 年 7 月，其中使用包含宏的 PowerPoint 文檔來傳播Agent Tesla惡意軟件。此事件凸顯了使用宏作為傳播惡意軟件和危害受害者係統的手段。

這些攻擊中使用的感染鏈依靠社會工程方法來說服受害者在 Office 文檔中啟用宏。一旦啟用宏，就會觸發 VBA 宏，從而導致部署 PicassoLoader DLL 下載器威脅。然後，該下載程序與攻擊者控制的站點建立連接，以檢索嵌入在看似合法圖像文件中的下一階段有效負載。最終的惡意軟件隱藏在該圖像文件中。

CERT-UA 最近披露的這些信息與他們對幾個傳播 SmokeLoader 惡意軟件的網絡釣魚操作的報告相吻合。此外，還發現了針對 Telegram 用戶的網絡詐騙攻擊，其目的是獲得對其帳戶的未經授權的控制。

GhostWriter 只是針對烏克蘭的網絡犯罪組織之一

烏克蘭已成為多個威脅行為者的目標，其中包括臭名昭著的俄羅斯民族國家組織APT28 。據觀察，APT28 採用發送帶有 HTML 附件的網絡釣魚電子郵件的策略，欺騙收件人相信他們的 UKR.NET 和 Yahoo! 中存在可疑活動。賬戶。這些電子郵件提示用戶更改密碼，但卻引導他們進入旨在收集登錄憑據的虛假登陸頁面。

這一最新進展是俄羅斯軍事情報 (GRU) 相關黑客活動中觀察到的更廣泛模式的一部分。他們在針對烏克蘭的破壞性行動中採用了“標準五階段戰術”，表明他們有意提高攻擊的速度、規模和強度。