PicassoLoader używany w atakach ukierunkowanych na Ukrainie, w Polsce

Rozpoczęto serię ukierunkowanych kampanii w celu pozyskania poufnych informacji i ustanowienia trwałego zdalnego dostępu do zaatakowanych systemów na Ukrainie iw Polsce. Organy rządowe, organizacje wojskowe i cywile padli ofiarą tych ataków.

Włamania te, trwające od kwietnia 2022 r. do lipca 2023 r., wykorzystywały różne taktyki, w tym przynęty typu phishing i dokumenty-wabiki. Jednym z czołowych złośliwych programów wykorzystywanych w tym schemacie jest PicassoLoader, który jest wdrażany za pośrednictwem złośliwego oprogramowania pobierającego. Po zainfekowaniu systemy są następnie atakowane przy użyciu Cobalt Strike Beacon i njRAT.

Badacz Cisco Talos, Vanja Svajcer, wyjaśnił, że ataki obejmują wiele etapów, począwszy od złośliwych dokumentów Microsoft Office, zwykle w formatach Excel lub PowerPoint. Następnie wykonywalny downloader i ładunek ukryty w pliku obrazu są wykorzystywane do uniknięcia wykrycia.

Uważa się, że za niektóre z tych działań odpowiedzialny jest atakujący GhostWriter, znany również jako UAC-0057 lub UNC1151. Ich motywy są zbieżne z motywami władz białoruskich.

Warto zauważyć, że część tych ataków została już zgłoszona w ubiegłym roku przez ukraiński CERT-UA i Fortinet FortiGuard Labs. Jeden przypadek dotyczył wykorzystania wypełnionych makrami dokumentów programu PowerPoint do dystrybucji złośliwego oprogramowania agenta Tesla w lipcu 2022 r.

Łańcuchy infekcji mają na celu przekonanie ofiar do włączenia makr, co prowadzi do wdrożenia narzędzia do pobierania DLL o nazwie PicassoLoader. Ten program do pobierania komunikuje się następnie ze stroną internetową kontrolowaną przez osobę atakującą w celu pobrania ostatecznego złośliwego oprogramowania, które jest osadzone w legalnym pliku obrazu.

CERT-UA niedawno ujawnił serię operacji phishingowych dystrybuujących złośliwe oprogramowanie SmokeLoader, a także atak mający na celu przejęcie nieautoryzowanej kontroli nad kontami Telegram.

Więcej cyberprzestępców atakujących Ukrainę

W osobnym incydencie CERT-UA ujawnił kampanię cyberszpiegowską wymierzoną w organizacje państwowe i przedstawicieli mediów na Ukrainie. Ta kampania wykorzystywała pocztę e-mail i komunikatory internetowe do dystrybucji plików, które po uruchomieniu wykonywały skrypt PowerShell o nazwie LONEPAGE. Ten skrypt pobierał ładunki następnego etapu, takie jak narzędzie do kradzieży przeglądarki (THUMBCHOP) i keylogger (CLOGFLAG).

GhostWriter to tylko jeden z kilku cyberprzestępców, których celem była Ukraina. Wiadomo również, że APT28, rosyjska grupa państw narodowych, używała załączników HTML w wiadomościach phishingowych. Te e-maile zachęcają odbiorców do zmiany haseł do UKR.NET i Yahoo! kont z powodu domniemanej podejrzanej aktywności. Jednak linki przekierowują ofiary do fałszywych stron docelowych zaprojektowanych w celu kradzieży ich danych uwierzytelniających.

Wydarzenia te zbiegają się w czasie z przyjęciem przez hakerów rosyjskiego wywiadu wojskowego (GRU) „standardowego pięciofazowego podręcznika” dla ich destrukcyjnych operacji przeciwko Ukrainie. Strategia ta ma na celu zintensyfikowanie szybkości, skali i wpływu ich ataków.