A PicassoLoader célzott támadásokban használatos Ukrajnában, Lengyelországban

Célzott kampányok sorozata indult az érzékeny információk megszerzésére és az Ukrajnában és Lengyelországban feltört rendszerekhez való tartós távoli hozzáférés megteremtésére. Kormányzati szervek, katonai szervezetek és civilek estek áldozatul ezeknek a támadásoknak.

2022 áprilisa és 2023 júliusa között ezek a behatolások különböző taktikákat alkalmaznak, beleértve az adathalász csalikat és a csali dokumentumokat. Az ebben a sémában használt egyik kiemelkedő rosszindulatú program a PicassoLoader, amelyet letöltő rosszindulatú programon keresztül telepítenek. A megfertőződést követően a rendszerek a Cobalt Strike Beacon és az njRAT segítségével kompromittálódnak.

Vanja Svajcer, a Cisco Talos kutatója kifejtette, hogy a támadások több szakaszból állnak, kezdve a rosszindulatú Microsoft Office dokumentumokkal, általában Excel vagy PowerPoint formátumban. Ezt követően egy végrehajtható letöltőt és egy képfájlban elrejtett hasznos adatot használnak fel az észlelés elkerülésére.

Úgy gondolják, hogy a GhostWriter fenyegetés szereplője, más néven UAC-0057 vagy UNC1151, felelős néhány ilyen tevékenységért. Indokaik megegyeznek a fehérorosz kormány indítékaival.

Érdemes megjegyezni, hogy ezeknek a támadásoknak egy részhalmazát az ukrán CERT-UA és a Fortinet FortiGuard Labs már beszámolta az elmúlt évben. Az egyik példa a makrókkal terhelt PowerPoint-dokumentumok felhasználását jelentette az Agent Tesla kártevő terjesztésére 2022 júliusában.

A fertőzési láncok célja, hogy rávegyék az áldozatokat a makrók engedélyezésére, ami a PicassoLoader nevű DLL-letöltő telepítéséhez vezet. Ez a letöltő ezután kommunikál a támadó által felügyelt weboldallal, hogy lekérje a végső rosszindulatú programot, amely egy legitim képfájlba van beágyazva.

A CERT-UA a közelmúltban felfedte a SmokeLoader rosszindulatú programokat terjesztő adathalász műveletek sorozatát, valamint a Telegram-fiókok jogosulatlan ellenőrzését célzó támadást.

További fenyegető szereplők Ukrajnát célozva

Egy külön incidensben a CERT-UA nyilvánosságra hozott egy kiberkémkampányt, amely Ukrajnában állami szervezeteket és média képviselőit célozta meg. Ez a kampány e-maileket és azonnali üzenetküldőket használt a fájlok terjesztésére, amelyek elindításakor a LONEPAGE nevű PowerShell-szkriptet hajtottak végre. Ez a szkript letöltötte a következő szintű hasznos adatokat, például egy böngészőlopót (THUMBCHOP) és egy keyloggert (CLOGFLAG).

A GhostWriter csak egy a számos fenyegetés szereplő közül, amelyek Ukrajnát célozták meg. Az APT28, egy orosz nemzetállami csoport is ismert, hogy HTML-mellékleteket használt az adathalász e-mailekben. Ezek az e-mailek arra kérik a címzetteket, hogy módosítsák jelszavaikat az UKR.NET és a Yahoo! állítólagos gyanús tevékenység miatt. A linkek azonban az áldozatokat hamis nyitóoldalakra irányítják, amelyek célja a hitelesítő adatok ellopása.

Ezek a fejlemények egybeesnek azzal, hogy az orosz katonai hírszerzés (GRU) hackerei "standard ötfázisú játékkönyvet" fogadtak el Ukrajna elleni bomlasztó műveleteikhez. Ennek a stratégiának az a célja, hogy fokozza támadásaik sebességét, mértékét és hatását.