PowerModul植入物
被稱為 Paper Werewolf(也稱為 GOFFEE)的威脅行為者一直使用一種名為 PowerModul 的新植入物專門針對俄羅斯組織。 2024 年 7 月至 12 月期間,他們的攻擊集中在大眾媒體、電信、建築、政府實體和能源部門等關鍵產業。
目錄
持久的對手:自 2022 年以來的行動
「紙狼人」自 2022 年以來已開展了至少七次活動。該組織一直專注於政府、能源、金融和媒體領域的高價值目標。
不僅僅是間諜活動:攻擊鏈中的破壞性轉折
Paper Werewolf 的行動超越了傳統的網路間諜活動。據觀察,他們的攻擊鏈包含破壞性組件,例如更改員工帳戶密碼,這表明其意圖是破壞營運而不僅僅是竊取資料。
入口點:網路釣魚誘餌和 PowerRAT
攻擊通常始於包含巨集文件的網路釣魚電子郵件。一旦受害者存取該檔案並啟用巨集,就會部署基於 PowerShell 的遠端存取木馬PowerRAT 。該惡意軟體為更高級的有效載荷奠定了基礎。
自訂惡意軟體庫:PowerTaskel、QwakMyAgent 和 Owowa
下一階段的有效載荷通常包括 PowerTaskel 和 QwakMyAgent,基於 Mythic 框架的代理程式的定製版本。另一個工具 Owowa 是一個惡意 IIS 模組,用於竊取透過 Web 用戶端輸入的 Microsoft Outlook 憑證。
新的感染策略:RAR 檔案中偽裝的可執行文件
最新一波攻擊的特點是惡意 RAR 檔案檔案包含一個使用雙副檔名(例如 *.pdf.exe)偽裝成 PDF 或 Word 文件的可執行檔。執行後,會向使用者顯示誘餌文檔,同時系統會在後台悄悄被感染。
該可執行檔實際上是修補過的 Windows 系統檔案(如 explorer.exe),其中嵌入了包含混淆的 Mythic 代理程式的惡意 shellcode,該代理程式連接到 C2 伺服器以取得進一步的指令。
替代攻擊路線:PowerModul 佔據中心位置
在另一種方法中,Paper Werewolf 使用帶有巨集的 Office 文件的 RAR 檔案作為 PowerModul 的植入器。該 PowerShell 腳本可以從 C2 伺服器執行其他腳本,使其成為一個多功能後門。
Payload Parade:間諜和感染工具包
PowerModul 自 2024 年初開始使用,主要用於下載和執行 PowerTaskel。其他值得注意的有效載荷包括:
- FlashFileGrabber :從快閃磁碟機竊取檔案並將其洩漏。
- FlashFileGrabberOffline :在快閃記憶體媒體上搜尋具有特定副檔名的檔案並將其儲存在本機以供日後擷取。
- USB 蠕蟲:使用 PowerModul 副本感染快閃磁碟機,以進一步傳播惡意軟體。
PowerTaskel 的功能:不僅僅是腳本執行
雖然與 PowerModul 類似,但 PowerTaskel 功能更強大。它會傳送帶有系統資訊的「checkin」訊息,從 C2 伺服器執行命令,並可以使用 PsExec 提升權限。在一個案例中,它被發現執行一個 FolderFileGrabber 腳本,該腳本使用硬編碼的 SMB 網路路徑從遠端系統收集檔案。
戰術演進:告別 PowerTaskel
Paper Werewolf 首次使用帶有 VBA 腳本的欺詐性 Word 文件進行初步存取。最近的調查結果也顯示了戰術上的轉變,該組織正在遠離 PowerTaskel,並越來越依賴二進位 Mythic 代理程式在目標網路內進行橫向移動。
最後的想法:威脅日益加劇,技術不斷進步
紙狼人繼續完善其技術並擴大其武器庫。對俄羅斯實體的專注關注,加上破壞能力和不斷發展的感染策略,使其成為一個嚴重且持續的網路威脅。
