PicassoLoader 用於烏克蘭和波蘭的定向攻擊

已經發起了一系列有針對性的活動，以獲取敏感信息並建立對烏克蘭和波蘭受感染系統的持續遠程訪問。政府機構、軍事組織和平民都成為這些襲擊的受害者。

從 2022 年 4 月到 2023 年 7 月，這些入侵採用了各種策略，包括網絡釣魚誘餌和誘餌文件。該計劃中使用的一種著名惡意軟件是 PicassoLoader，它是通過下載器惡意軟件部署的。一旦被感染，系統就會使用 Cobalt Strike Beacon 和 njRAT 受到損害。

Cisco Talos 研究員 Vanja Svajcer 解釋說，攻擊涉及多個階段，首先是惡意 Microsoft Office 文檔（通常為 Excel 或 PowerPoint 格式）。隨後，利用隱藏在圖像文件中的可執行下載程序和有效負載來逃避檢測。

據信，GhostWriter 威脅參與者（也稱為 UAC-0057 或 UNC1151）對其中一些活動負有責任。他們的動機與白俄羅斯政府的動機一致。

值得注意的是，烏克蘭 CERT-UA 和 Fortinet FortiGuard 實驗室在過去一年中已經報告了其中一部分攻擊。其中一個實例涉及 2022 年 7 月使用含有宏的 PowerPoint 文檔來分發 Agent Tesla 惡意軟件。

感染鏈旨在說服受害者啟用宏，從而導致部署名為 PicassoLoader 的 DLL 下載程序。然後，該下載程序與攻擊者控制的網站進行通信，以獲取嵌入在合法圖像文件中的最終惡意軟件。

CERT-UA 最近披露了一系列分發 SmokeLoader 惡意軟件的網絡釣魚操作，以及旨在未經授權控制 Telegram 帳戶的網絡釣魚攻擊。

更多針對烏克蘭的威脅行為者

在另一起事件中，CERT-UA 披露了針對烏克蘭國家組織和媒體代表的網絡間諜活動。該活動利用電子郵件和即時通訊工具來分發文件，這些文件啟動後會執行名為 LONEPAGE 的 PowerShell 腳本。該腳本獲取下一階段的有效負載，例如瀏覽器竊取程序 (THUMBCHOP) 和鍵盤記錄器 (CLOGFLAG)。

GhostWriter 只是針對烏克蘭的幾個威脅者之一。據了解，俄羅斯民族國家組織 APT28 也曾在網絡釣魚電子郵件中使用 HTML 附件。這些電子郵件會提示收件人更改 UKR.NET 和 Yahoo! 的密碼。因涉嫌可疑活動而導致的賬戶。然而，這些鏈接會將受害者重定向到旨在竊取其憑據的虛假登陸頁面。

這些事態發展與俄羅斯軍事情報（GRU）黑客採用“標準五階段劇本”針對烏克蘭的破壞性行動不謀而合。該策略旨在加強攻擊的速度、規模和影響。