PicassoLoader utilizzato in attacchi mirati in Ucraina, Polonia

È stata lanciata una serie di campagne mirate per acquisire informazioni sensibili e stabilire un accesso remoto persistente ai sistemi compromessi in Ucraina e Polonia. Enti governativi, organizzazioni militari e civili sono stati vittime di questi attacchi.

Da aprile 2022 a luglio 2023, queste intrusioni impiegano varie tattiche, tra cui esche di phishing e documenti esca. Un malware di spicco utilizzato in questo schema è PicassoLoader, che viene distribuito tramite malware downloader. Una volta infettati, i sistemi vengono quindi compromessi utilizzando Cobalt Strike Beacon e njRAT.

Il ricercatore di Cisco Talos Vanja Svajcer ha spiegato che gli attacchi coinvolgono più fasi, a partire da documenti Microsoft Office dannosi, comunemente in formato Excel o PowerPoint. Successivamente, vengono utilizzati un downloader eseguibile e un payload nascosti all'interno di un file immagine per eludere il rilevamento.

Si ritiene che l'attore della minaccia GhostWriter, noto anche come UAC-0057 o UNC1151, sia responsabile di alcune di queste attività. Le loro motivazioni sono in linea con quelle del governo bielorusso.

Vale la pena notare che un sottoinsieme di questi attacchi è già stato segnalato lo scorso anno dal CERT-UA ucraino e dai Fortinet FortiGuard Labs. Un caso ha comportato l'uso di documenti PowerPoint carichi di macro per distribuire il malware dell'agente Tesla nel luglio 2022.

Le catene di infezione sono progettate per convincere le vittime ad abilitare le macro, portando alla distribuzione di un downloader DLL chiamato PicassoLoader. Questo downloader comunica quindi con un sito Web controllato dall'aggressore per recuperare il malware finale, che è incorporato in un file immagine legittimo.

CERT-UA ha recentemente rivelato una serie di operazioni di phishing che distribuiscono malware SmokeLoader, nonché un attacco di smishing volto a prendere il controllo non autorizzato degli account Telegram.

Altri attori della minaccia prendono di mira l'Ucraina

In un incidente separato, CERT-UA ha rivelato una campagna di spionaggio informatico rivolta a organizzazioni statali e rappresentanti dei media in Ucraina. Questa campagna utilizzava e-mail e messaggistica istantanea per distribuire file che, una volta lanciati, eseguivano uno script PowerShell chiamato LONEPAGE. Questo script ha recuperato i payload della fase successiva come un browser stealer (THUMBCHOP) e un keylogger (CLOGFLAG).

GhostWriter è solo uno dei numerosi attori della minaccia che hanno preso di mira l'Ucraina. APT28, un gruppo di stato-nazione russo, è anche noto per aver utilizzato allegati HTML nelle e-mail di phishing. Queste e-mail richiedono ai destinatari di modificare le proprie password per UKR.NET e Yahoo! account a causa di presunte attività sospette. Tuttavia, i collegamenti reindirizzano le vittime a pagine di destinazione false progettate per rubare le loro credenziali.

Questi sviluppi coincidono con l'adozione da parte degli hacker dell'intelligence militare russa (GRU) di un "playbook standard in cinque fasi" per le loro operazioni dirompenti contro l'Ucraina. Questa strategia mira a intensificare la velocità, la portata e l'impatto dei loro attacchi.