„PicassoLoader“ naudojamas tiksliniams išpuoliams Ukrainoje, Lenkijoje

Buvo pradėta eilė tikslinių kampanijų, skirtų gauti neskelbtiną informaciją ir sukurti nuolatinę nuotolinę prieigą prie pažeistų sistemų Ukrainoje ir Lenkijoje. Vyriausybinės institucijos, karinės organizacijos ir civiliai tapo šių išpuolių aukomis.

Nuo 2022 m. balandžio mėn. iki 2023 m. liepos mėn. šie įsibrovimai taikomi įvairiai taktikai, įskaitant sukčiavimo jaukus ir viliojimo dokumentus. Viena iš žinomų šioje schemoje naudojamų kenkėjiškų programų yra „PicassoLoader“, kuri įdiegiama naudojant kenkėjišką programinę įrangą. Užkrėstos sistemos pažeidžiamos naudojant Cobalt Strike Beacon ir njRAT.

„Cisco Talos“ tyrėja Vanja Svajcer paaiškino, kad atakos apima kelis etapus, pradedant nuo kenkėjiškų „Microsoft Office“ dokumentų, dažniausiai „Excel“ arba „PowerPoint“ formatų. Vėliau, norint išvengti aptikimo, naudojama vykdomoji parsisiuntimo programa ir naudingoji apkrova, paslėpta vaizdo faile.

Manoma, kad už kai kurias iš šių veiklų atsakingas GhostWriter grėsmės veikėjas, taip pat žinomas kaip UAC-0057 arba UNC1151. Jų motyvai sutampa su Baltarusijos vyriausybės motyvais.

Verta paminėti, kad Ukrainos CERT-UA ir Fortinet FortiGuard Labs praėjusiais metais jau pranešė apie šių atakų pogrupį. Vienas atvejis buvo susijęs su makrokomandomis pakrautų „PowerPoint“ dokumentų naudojimu, siekiant platinti „Agent Tesla“ kenkėjišką programą 2022 m. liepos mėn.

Užkrėtimo grandinės skirtos įtikinti aukas įjungti makrokomandas, todėl bus įdiegta DLL atsisiuntimo programa, vadinama PicassoLoader. Tada ši atsisiuntimo programa susisiekia su užpuoliko valdoma svetaine, kad gautų galutinę kenkėjišką programą, kuri yra įterpta į teisėtą vaizdo failą.

CERT-UA neseniai atskleidė daugybę sukčiavimo operacijų, platinančių „SmokeLoader“ kenkėjiškas programas, taip pat ataką, kurios tikslas buvo neteisėtai valdyti „Telegram“ paskyras.

Daugiau grėsmės veikėjų, nukreiptų į Ukrainą

Per atskirą incidentą CERT-UA atskleidė kibernetinio šnipinėjimo kampaniją, nukreiptą į Ukrainos valstybines organizacijas ir žiniasklaidos atstovus. Ši kampanija naudojo el. paštą ir momentinius pasiuntinius, kad platintų failus, kuriuos paleidus buvo vykdomas PowerShell scenarijus, pavadintas LONEPAGE. Šis scenarijus atnešė naujos pakopos naudingąsias apkrovas, tokias kaip naršyklės vagis (THUMBCHOP) ir klavišų kaupiklis (CLOGFLAG).

„GhostWriter“ yra tik vienas iš kelių grėsmių veikėjų, nusitaikiusių į Ukrainą. Taip pat žinoma, kad APT28, Rusijos nacionalinės valstybės grupė, naudojo HTML priedus sukčiavimo el. laiškuose. Šiuose el. laiškuose gavėjai raginami pakeisti UKR.NET ir Yahoo! sąskaitas dėl tariamai įtartinos veiklos. Tačiau nuorodos nukreipia aukas į netikrus nukreipimo puslapius, skirtus pavogti jų kredencialus.

Šie įvykiai sutampa su tuo, kad Rusijos karinės žvalgybos (GRU) įsilaužėliai priėmė „standartinį penkių etapų planą“ savo ardomosioms operacijoms prieš Ukrainą. Šia strategija siekiama padidinti jų atakų greitį, mastą ir poveikį.