PicassoLoader används vid riktade attacker i Ukraina, Polen

En serie riktade kampanjer har lanserats för att skaffa känslig information och etablera beständig fjärråtkomst till komprometterade system i Ukraina och Polen. Regeringsorgan, militära organisationer och civila har fallit offer för dessa attacker.

Dessa intrång sträcker sig från april 2022 till juli 2023 och använder olika taktiker, inklusive nätfiske och lockbete. En framträdande skadlig programvara som används i detta schema är PicassoLoader, som distribueras genom skadlig programvara för nedladdning. När de väl är infekterade, äventyras systemen med Cobalt Strike Beacon och njRAT.

Cisco Talos-forskaren Vanja Svajcer förklarade att attackerna involverar flera steg, som börjar med skadliga Microsoft Office-dokument, vanligtvis i Excel- eller PowerPoint-format. Därefter används en körbar nedladdare och nyttolast gömd i en bildfil för att undvika upptäckt.

GhostWriter-hotaktören, även känd som UAC-0057 eller UNC1151, tros vara ansvarig för några av dessa aktiviteter. Deras motiv överensstämmer med den vitryska regeringens.

Det är värt att notera att en delmängd av dessa attacker redan har rapporterats under det senaste året av Ukrainas CERT-UA och Fortinet FortiGuard Labs. En instans involverade användningen av makroladdade PowerPoint-dokument för att distribuera Agent Tesla skadlig programvara i juli 2022.

Infektionskedjorna är utformade för att övertala offer att aktivera makron, vilket leder till distributionen av en DLL-nedladdare som heter PicassoLoader. Denna nedladdare kommunicerar sedan med en webbplats som kontrolleras av angriparen för att hämta den sista skadliga programvaran, som är inbäddad i en legitim bildfil.

CERT-UA avslöjade nyligen en serie nätfiskeoperationer som distribuerar SmokeLoader skadlig kod, samt en smishing attack som syftar till att ta obehörig kontroll över Telegram-konton.

Fler hotaktörer som riktar sig till Ukraina

I en separat incident avslöjade CERT-UA en cyberspionagekampanj riktad mot statliga organisationer och mediarepresentanter i Ukraina. Denna kampanj använde e-post och snabbmeddelanden för att distribuera filer som, när de lanserades, körde ett PowerShell-skript som heter LONEPAGE. Det här skriptet hämtade nyttolaster i nästa steg som en webbläsarstjälare (THUMBCHOP) och en keylogger (CLOGFLAG).

GhostWriter är bara en av flera hotaktörer som har riktat sig mot Ukraina. APT28, en rysk nationalstatsgrupp, är också känd för att ha använt HTML-bilagor i nätfiske-e-postmeddelanden. Dessa e-postmeddelanden uppmanar mottagarna att ändra sina lösenord för UKR.NET och Yahoo! konton på grund av påstådd misstänkt aktivitet. Däremot omdirigerar länkarna offren till falska målsidor som är utformade för att stjäla deras referenser.

Denna utveckling sammanfaller med att hackare från den ryska militära underrättelsetjänsten (GRU) antog en "standard fem-fas spelbok" för sina störande operationer mot Ukraina. Denna strategi syftar till att intensifiera hastigheten, omfattningen och effekten av deras attacker.