PicassoLoader gebruikt bij gerichte aanvallen in Oekraïne, Polen

Er is een reeks gerichte campagnes gelanceerd om gevoelige informatie te verkrijgen en permanente toegang op afstand tot gecompromitteerde systemen in Oekraïne en Polen tot stand te brengen. Overheidsinstanties, militaire organisaties en burgers zijn het slachtoffer geworden van deze aanvallen.

Deze inbraken strekken zich uit van april 2022 tot juli 2023 en maken gebruik van verschillende tactieken, waaronder phishing-lokmiddelen en lokdocumenten. Een prominente malware die in dit schema wordt gebruikt, is PicassoLoader, die wordt ingezet via downloader-malware. Eenmaal geïnfecteerd, worden de systemen gecompromitteerd met behulp van Cobalt Strike Beacon en njRAT.

Cisco Talos-onderzoeker Vanja Svajcer legde uit dat de aanvallen meerdere fasen omvatten, te beginnen met kwaadaardige Microsoft Office-documenten, meestal in Excel- of PowerPoint-indeling. Vervolgens worden een uitvoerbare downloader en payload verborgen in een afbeeldingsbestand gebruikt om detectie te omzeilen.

De GhostWriter-bedreigingsactor, ook bekend als UAC-0057 of UNC1151, wordt verondersteld verantwoordelijk te zijn voor sommige van deze activiteiten. Hun motieven komen overeen met die van de Wit-Russische regering.

Het is vermeldenswaard dat een subset van deze aanvallen het afgelopen jaar al is gemeld door het Oekraïense CERT-UA en Fortinet FortiGuard Labs. Een voorbeeld betrof het gebruik van met macro's beladen PowerPoint-documenten om Agent Tesla-malware te verspreiden in juli 2022.

De infectieketens zijn ontworpen om slachtoffers te overtuigen macro's in te schakelen, wat leidt tot de inzet van een DLL-downloader genaamd PicassoLoader. Deze downloader communiceert vervolgens met een website die wordt beheerd door de aanvaller om de uiteindelijke malware op te halen, die is ingebed in een legitiem afbeeldingsbestand.

CERT-UA onthulde onlangs een reeks phishing-operaties waarbij SmokeLoader-malware werd verspreid, evenals een smishing-aanval die erop gericht was ongeoorloofde controle over Telegram-accounts over te nemen.

Meer bedreigingsactoren gericht op Oekraïne

In een afzonderlijk incident maakte CERT-UA een cyberspionagecampagne bekend die gericht was op staatsorganisaties en vertegenwoordigers van de media in Oekraïne. Deze campagne maakte gebruik van e-mail en instant messengers om bestanden te verspreiden die, toen ze werden gelanceerd, een PowerShell-script met de naam LONEPAGE uitvoerden. Dit script haalde payloads van de volgende fase op, zoals een browser-stealer (THUMBCHOP) en een keylogger (CLOGFLAG).

GhostWriter is slechts een van de vele bedreigingsactoren die zich op Oekraïne hebben gericht. Het is ook bekend dat APT28, een Russische natiestaatgroep, HTML-bijlagen heeft gebruikt in phishing-e-mails. Deze e-mails vragen de ontvangers om hun wachtwoord voor UKR.NET en Yahoo! accounts vanwege vermeende verdachte activiteiten. De links leiden slachtoffers echter door naar valse bestemmingspagina's die zijn ontworpen om hun inloggegevens te stelen.

Deze ontwikkelingen vallen samen met de hackers van de Russische militaire inlichtingendienst (GRU) die een "standaard vijffasen-draaiboek" gebruiken voor hun ontwrichtende operaties tegen Oekraïne. Deze strategie heeft tot doel de snelheid, schaal en impact van hun aanvallen te intensiveren.