PicassoLoader 用于乌克兰和波兰的定向攻击

已经发起了一系列有针对性的活动，以获取敏感信息并建立对乌克兰和波兰受感染系统的持续远程访问。政府机构、军事组织和平民都成为这些袭击的受害者。

从 2022 年 4 月到 2023 年 7 月，这些入侵采用了各种策略，包括网络钓鱼诱饵和诱饵文件。该计划中使用的一种著名恶意软件是 PicassoLoader，它是通过下载器恶意软件部署的。一旦被感染，系统就会使用 Cobalt Strike Beacon 和 njRAT 受到损害。

Cisco Talos 研究员 Vanja Svajcer 解释说，攻击涉及多个阶段，首先是恶意 Microsoft Office 文档（通常为 Excel 或 PowerPoint 格式）。随后，利用隐藏在图像文件中的可执行下载程序和有效负载来逃避检测。

据信，GhostWriter 威胁参与者（也称为 UAC-0057 或 UNC1151）对其中一些活动负有责任。他们的动机与白俄罗斯政府的动机一致。

值得注意的是，乌克兰 CERT-UA 和 Fortinet FortiGuard 实验室在过去一年中已经报告了其中一部分攻击。其中一个实例涉及 2022 年 7 月使用含有宏的 PowerPoint 文档来分发 Agent Tesla 恶意软件。

感染链旨在说服受害者启用宏，从而导致部署名为 PicassoLoader 的 DLL 下载程序。然后，该下载程序与攻击者控制的网站进行通信，以获取嵌入在合法图像文件中的最终恶意软件。

CERT-UA 最近披露了一系列分发 SmokeLoader 恶意软件的网络钓鱼操作，以及旨在未经授权控制 Telegram 帐户的网络钓鱼攻击。

更多针对乌克兰的威胁行为者

在另一起事件中，CERT-UA 披露了针对乌克兰国家组织和媒体代表的网络间谍活动。该活动利用电子邮件和即时通讯工具来分发文件，这些文件启动后会执行名为 LONEPAGE 的 PowerShell 脚本。该脚本获取下一阶段的有效负载，例如浏览器窃取程序 (THUMBCHOP) 和键盘记录器 (CLOGFLAG)。

GhostWriter 只是针对乌克兰的几个威胁者之一。据了解，俄罗斯民族国家组织 APT28 也曾在网络钓鱼电子邮件中使用 HTML 附件。这些电子邮件会提示收件人更改 UKR.NET 和 Yahoo! 的密码。因涉嫌可疑活动而导致的账户。然而，这些链接会将受害者重定向到旨在窃取其凭据的虚假登陆页面。

这些事态发展与俄罗斯军事情报（GRU）黑客采用“标准五阶段剧本”针对乌克兰的破坏性行动不谋而合。该策略旨在加强攻击的速度、规模和影响。