Το PicassoLoader χρησιμοποιείται σε στοχευμένες επιθέσεις στην Ουκρανία, την Πολωνία

Μια σειρά από στοχευμένες εκστρατείες έχει ξεκινήσει για την απόκτηση ευαίσθητων πληροφοριών και τη δημιουργία μόνιμης απομακρυσμένης πρόσβασης σε παραβιασμένα συστήματα στην Ουκρανία και την Πολωνία. Κυβερνητικά όργανα, στρατιωτικές οργανώσεις και πολίτες έχουν πέσει θύματα αυτών των επιθέσεων.

Από τον Απρίλιο του 2022 έως τον Ιούλιο του 2023, αυτές οι εισβολές χρησιμοποιούν διάφορες τακτικές, συμπεριλαμβανομένων των δολωμάτων phishing και των εγγράφων παραπλάνησης. Ένα σημαντικό κακόβουλο λογισμικό που χρησιμοποιείται σε αυτό το σχήμα είναι το PicassoLoader, το οποίο αναπτύσσεται μέσω κακόβουλου λογισμικού λήψης. Μόλις μολυνθούν, τα συστήματα στη συνέχεια παραβιάζονται χρησιμοποιώντας Cobalt Strike Beacon και njRAT.

Η ερευνήτρια της Cisco Talos, Vanja Svajcer, εξήγησε ότι οι επιθέσεις περιλαμβάνουν πολλά στάδια, ξεκινώντας από κακόβουλα έγγραφα του Microsoft Office, συνήθως σε μορφές Excel ή PowerPoint. Στη συνέχεια, ένα εκτελέσιμο πρόγραμμα λήψης και ένα ωφέλιμο φορτίο που κρύβονται μέσα σε ένα αρχείο εικόνας χρησιμοποιούνται για την αποφυγή ανίχνευσης.

Ο ηθοποιός απειλών GhostWriter, επίσης γνωστός ως UAC-0057 ή UNC1151, πιστεύεται ότι είναι υπεύθυνος για ορισμένες από αυτές τις δραστηριότητες. Τα κίνητρά τους ευθυγραμμίζονται με εκείνα της κυβέρνησης της Λευκορωσίας.

Αξίζει να σημειωθεί ότι ένα υποσύνολο αυτών των επιθέσεων έχει ήδη αναφερθεί τον περασμένο χρόνο από τα εργαστήρια CERT-UA της Ουκρανίας και Fortinet FortiGuard Labs. Ένα παράδειγμα αφορούσε τη χρήση εγγράφων PowerPoint με μακροεντολές για τη διανομή κακόβουλου λογισμικού Agent Tesla τον Ιούλιο του 2022.

Οι αλυσίδες μόλυνσης έχουν σχεδιαστεί για να πείσουν τα θύματα να ενεργοποιήσουν τις μακροεντολές, οδηγώντας στην ανάπτυξη ενός προγράμματος λήψης DLL που ονομάζεται PicassoLoader. Αυτό το πρόγραμμα λήψης στη συνέχεια επικοινωνεί με έναν ιστότοπο που ελέγχεται από τον εισβολέα για να ανακτήσει το τελικό κακόβουλο λογισμικό, το οποίο είναι ενσωματωμένο σε ένα νόμιμο αρχείο εικόνας.

Το CERT-UA αποκάλυψε πρόσφατα μια σειρά από λειτουργίες phishing που διανέμουν κακόβουλο λογισμικό SmokeLoader, καθώς και μια επίθεση smishing με στόχο τον έλεγχο μη εξουσιοδοτημένων λογαριασμών Telegram.

Περισσότεροι παράγοντες απειλών που στοχεύουν την Ουκρανία

Σε ένα ξεχωριστό περιστατικό, η CERT-UA αποκάλυψε μια εκστρατεία κατασκοπείας στον κυβερνοχώρο με στόχο κρατικούς οργανισμούς και εκπροσώπους μέσων ενημέρωσης στην Ουκρανία. Αυτή η καμπάνια χρησιμοποίησε email και άμεσους αγγελιοφόρους για τη διανομή αρχείων που, όταν εκκινήθηκαν, εκτελούσαν ένα σενάριο PowerShell που ονομάζεται LONEPAGE. Αυτό το σενάριο έλαβε ωφέλιμα φορτία επόμενου σταδίου, όπως ένα πρόγραμμα κλοπής προγράμματος περιήγησης (THUMBCHOP) και ένα καταγραφικό πληκτρολογίου (CLOGFLAG).

Το GhostWriter είναι μόνο ένας από τους πολλούς παράγοντες απειλών που έχουν βάλει στο στόχαστρο την Ουκρανία. Το APT28, μια ομάδα ρωσικού έθνους-κράτους, είναι επίσης γνωστό ότι χρησιμοποίησε συνημμένα HTML σε μηνύματα ηλεκτρονικού ψαρέματος. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προτρέπουν τους παραλήπτες να αλλάξουν τους κωδικούς πρόσβασής τους για το UKR.NET και το Yahoo! λογαριασμούς λόγω εικαζόμενης ύποπτης δραστηριότητας. Ωστόσο, οι σύνδεσμοι ανακατευθύνουν τα θύματα σε ψεύτικες σελίδες προορισμού που έχουν σχεδιαστεί για να κλέψουν τα διαπιστευτήριά τους.

Αυτές οι εξελίξεις συμπίπτουν με τους χάκερ της Ρωσικής Στρατιωτικής Πληροφορίας (GRU) που υιοθετούν ένα «τυποποιημένο βιβλίο πέντε φάσεων» για τις ανατρεπτικές επιχειρήσεις τους κατά της Ουκρανίας. Αυτή η στρατηγική στοχεύει να εντείνει την ταχύτητα, την κλίμακα και τον αντίκτυπο των επιθέσεών τους.