PicassoLoader используется в целевых атаках в Украине, Польше

Запущена серия целевых кампаний для получения конфиденциальной информации и установления постоянного удаленного доступа к скомпрометированным системам в Украине и Польше. Жертвами этих нападений стали государственные органы, военные организации и гражданские лица.

В период с апреля 2022 года по июль 2023 года эти вторжения использовали различные тактики, включая фишинговые приманки и ложные документы. Одним из известных вредоносных программ, используемых в этой схеме, является PicassoLoader, который развертывается через вредоносное ПО-загрузчик. После заражения системы скомпрометированы с помощью Cobalt Strike Beacon и njRAT.

Исследователь Cisco Talos Ваня Свайцер объяснил, что атаки включают в себя несколько этапов, начиная с вредоносных документов Microsoft Office, обычно в форматах Excel или PowerPoint. Впоследствии исполняемый загрузчик и полезная нагрузка, скрытые в файле изображения, используются, чтобы избежать обнаружения.

Предполагается, что за некоторые из этих действий несет ответственность злоумышленник GhostWriter, также известный как UAC-0057 или UNC1151. Их мотивы совпадают с мотивами белорусского правительства.

Стоит отметить, что в прошлом году украинская CERT-UA и Fortinet FortiGuard Labs уже сообщали о некоторых подобных атаках. Один случай связан с использованием загруженных макросами документов PowerPoint для распространения вредоносного ПО Agent Tesla в июле 2022 года.

Цепочки заражения предназначены для того, чтобы убедить жертв активировать макросы, что приводит к развертыванию загрузчика DLL под названием PicassoLoader. Затем этот загрузчик связывается с веб-сайтом, контролируемым злоумышленником, для получения окончательного вредоносного ПО, встроенного в легитимный файл изображения.

CERT-UA недавно выявил серию фишинговых операций по распространению вредоносного ПО SmokeLoader, а также атаку smishing, направленную на получение несанкционированного контроля над учетными записями Telegram.

Больше действующих лиц, нацеленных на Украину

В отдельном инциденте CERT-UA раскрыл кампанию кибершпионажа, направленную против государственных организаций и представителей СМИ в Украине. Эта кампания использовала электронную почту и мессенджеры для распространения файлов, которые при запуске запускали скрипт PowerShell под названием LONEPAGE. Этот сценарий извлекал полезные данные следующего этапа, такие как похититель браузера (THUMBCHOP) и кейлоггер (CLOGFLAG).

GhostWriter — лишь один из нескольких злоумышленников, нацеленных на Украину. Также известно, что российская национально-государственная группа APT28 использовала HTML-вложения в фишинговых электронных письмах. Эти электронные письма предлагают получателям изменить свои пароли для UKR.NET и Yahoo! учетных записей из-за предполагаемой подозрительной активности. Однако ссылки перенаправляют жертв на поддельные целевые страницы, предназначенные для кражи их учетных данных.

Эти события совпадают с тем, что хакеры российской военной разведки (ГРУ) используют «стандартный пятиэтапный сценарий» для своих подрывных операций против Украины. Эта стратегия направлена на усиление скорости, масштаба и воздействия их атак.