PicassoLoader wird bei gezielten Angriffen in der Ukraine und Polen eingesetzt

Es wurde eine Reihe gezielter Kampagnen gestartet, um an sensible Informationen zu gelangen und einen dauerhaften Fernzugriff auf kompromittierte Systeme in der Ukraine und Polen einzurichten. Regierungsbehörden, Militärorganisationen und Zivilisten wurden Opfer dieser Angriffe.

Diese Einbrüche dauern von April 2022 bis Juli 2023 und nutzen verschiedene Taktiken, darunter Phishing-Köder und Täuschungsdokumente. Eine prominente Malware, die in diesem Schema verwendet wird, ist PicassoLoader, die über Downloader-Malware verbreitet wird. Nach der Infektion werden die Systeme mithilfe von Cobalt Strike Beacon und njRAT kompromittiert.

Cisco Talos-Forscherin Vanja Svajcer erklärte, dass die Angriffe mehrere Phasen umfassen und mit bösartigen Microsoft Office-Dokumenten beginnen, üblicherweise im Excel- oder PowerPoint-Format. Anschließend werden ein ausführbarer Downloader und eine in einer Bilddatei verborgene Nutzlast genutzt, um einer Entdeckung zu entgehen.

Es wird angenommen, dass der Bedrohungsakteur GhostWriter, auch bekannt als UAC-0057 oder UNC1151, für einige dieser Aktivitäten verantwortlich ist. Ihre Motive stimmen mit denen der belarussischen Regierung überein.

Es ist erwähnenswert, dass ein Teil dieser Angriffe bereits im vergangenen Jahr von CERT-UA und Fortinet FortiGuard Labs aus der Ukraine gemeldet wurde. Ein Fall betraf die Verwendung von mit Makros beladenen PowerPoint-Dokumenten zur Verbreitung der Agent-Tesla-Malware im Juli 2022.

Die Infektionsketten sollen Opfer dazu verleiten, Makros zu aktivieren, was zur Bereitstellung eines DLL-Downloaders namens PicassoLoader führt. Dieser Downloader kommuniziert dann mit einer vom Angreifer kontrollierten Website, um die endgültige Malware abzurufen, die in eine legitime Bilddatei eingebettet ist.

CERT-UA hat kürzlich eine Reihe von Phishing-Operationen zur Verbreitung der SmokeLoader-Malware sowie einen Smishing-Angriff aufgedeckt, der darauf abzielt, unbefugt die Kontrolle über Telegram-Konten zu erlangen.

Weitere Bedrohungsakteure nehmen die Ukraine ins Visier

In einem anderen Vorfall enthüllte CERT-UA eine Cyberspionagekampagne, die sich gegen staatliche Organisationen und Medienvertreter in der Ukraine richtete. Diese Kampagne nutzte E-Mail und Instant Messenger, um Dateien zu verteilen, die beim Start ein PowerShell-Skript namens LONEPAGE ausführten. Dieses Skript holte Payloads der nächsten Stufe wie einen Browser-Stealer (THUMBCHOP) und einen Keylogger (CLOGFLAG).

GhostWriter ist nur einer von mehreren Bedrohungsakteuren, die es auf die Ukraine abgesehen haben. Es ist auch bekannt, dass APT28, eine russische nationalstaatliche Gruppe, HTML-Anhänge in Phishing-E-Mails verwendet hat. Diese E-Mails fordern die Empfänger auf, ihre Passwörter für UKR.NET und Yahoo! zu ändern. Konten aufgrund angeblicher verdächtiger Aktivitäten. Allerdings leiten die Links die Opfer auf gefälschte Zielseiten weiter, die darauf abzielen, ihre Anmeldedaten zu stehlen.

Diese Entwicklungen fallen mit der Einführung eines „Standard-Fünf-Phasen-Plans“ durch die Hacker des russischen Militärgeheimdienstes (GRU) für ihre zerstörerischen Operationen gegen die Ukraine zusammen. Diese Strategie zielt darauf ab, die Geschwindigkeit, das Ausmaß und die Wirkung ihrer Angriffe zu erhöhen.