PicassoLoader brukt i målrettede angrep i Ukraina, Polen

En serie målrettede kampanjer har blitt lansert for å innhente sensitiv informasjon og etablere vedvarende ekstern tilgang til kompromitterte systemer i Ukraina og Polen. Regjeringsorganer, militære organisasjoner og sivile har blitt ofre for disse angrepene.

Disse inntrengningene strekker seg fra april 2022 til juli 2023 og bruker ulike taktikker, inkludert phishing-lokker og lokkedokumenter. En fremtredende skadelig programvare som brukes i denne ordningen er PicassoLoader, som distribueres gjennom skadelig programvare for nedlasting. Når de er infisert, blir systemene kompromittert ved hjelp av Cobalt Strike Beacon og njRAT.

Cisco Talos-forsker Vanja Svajcer forklarte at angrepene involverer flere stadier, og starter med ondsinnede Microsoft Office-dokumenter, vanligvis i Excel- eller PowerPoint-formater. Deretter brukes en kjørbar nedlaster og nyttelast skjult i en bildefil for å unngå gjenkjenning.

GhostWriter-trusselaktøren, også kjent som UAC-0057 eller UNC1151, antas å være ansvarlig for noen av disse aktivitetene. Motivene deres stemmer overens med den hviterussiske regjeringens motiver.

Det er verdt å merke seg at en undergruppe av disse angrepene allerede har blitt rapportert det siste året av Ukrainas CERT-UA og Fortinet FortiGuard Labs. En forekomst involverte bruk av makroladede PowerPoint-dokumenter for å distribuere Agent Tesla malware i juli 2022.

Infeksjonskjedene er designet for å overtale ofre til å aktivere makroer, noe som fører til distribusjon av en DLL-nedlaster kalt PicassoLoader. Denne nedlasteren kommuniserer deretter med et nettsted kontrollert av angriperen for å hente den endelige skadelige programvaren, som er innebygd i en legitim bildefil.

CERT-UA avslørte nylig en serie phishing-operasjoner som distribuerer SmokeLoader-malware, samt et smishing-angrep rettet mot å ta uautorisert kontroll over Telegram-kontoer.

Flere trusselaktører rettet mot Ukraina

I en egen hendelse avslørte CERT-UA en nettspionasjekampanje rettet mot statlige organisasjoner og medierepresentanter i Ukraina. Denne kampanjen brukte e-post og direktemeldinger for å distribuere filer som, når de ble lansert, utførte et PowerShell-skript kalt LONEPAGE. Dette skriptet hentet nyttelaster i neste trinn som en nettleser-tyver (THUMBCHOP) og en keylogger (CLOGFLAG).

GhostWriter er bare en av flere trusselaktører som har målrettet Ukraina. APT28, en russisk nasjonalstatsgruppe, er også kjent for å ha brukt HTML-vedlegg i phishing-e-poster. Disse e-postene ber mottakerne om å endre passordene sine for UKR.NET og Yahoo! kontoer på grunn av påstått mistenkelig aktivitet. Imidlertid omdirigerer lenkene ofrene til falske landingssider designet for å stjele legitimasjonen deres.

Denne utviklingen faller sammen med at hackerne fra russisk militær etterretning (GRU) tok i bruk en "standard femfase-spillbok" for sine forstyrrende operasjoner mot Ukraina. Denne strategien tar sikte på å intensivere hastigheten, omfanget og virkningen av angrepene deres.