PicassoLoader-Malware
Infosec-Experten haben eine Reihe von Cyberangriffskampagnen gegen Ziele in der Ukraine und Polen identifiziert. Cyberkriminelle konzentrieren sich darauf, staatliche Stellen, militärische Organisationen und zivile Benutzer zu kompromittieren. Diese Kampagnen zielen darauf ab, illegal an sensible Daten zu gelangen und einen kontinuierlichen Fernzugriff auf die kompromittierten Systeme herzustellen.
Diese Einbruchskampagne erstreckt sich über einen Zeitraum von April 2022 bis Juli 2023 und nutzt verschiedene Taktiken. Phishing-Köder und Täuschungsdokumente werden eingesetzt, um Opfer zu täuschen und die Bereitstellung einer Downloader-Malware namens PicassoLoader zu erleichtern. Diese bedrohliche Software dient als Einfallstor für den Start anderer unsicherer Tools, insbesondere des Cobalt Strike Beacon und njRAT .
Bei Phishing-Ködern handelt es sich um betrügerische Techniken, mit denen Einzelpersonen dazu verleitet werden, vertrauliche Informationen wie Benutzernamen, Passwörter oder Kontoanmeldeinformationen preiszugeben. Bei Täuschungsdokumenten handelt es sich um getarnte Dateien, die legitim erscheinen sollen, in Wirklichkeit aber unsichere Nutzlasten enthalten. Indem sie Opfer dazu verleiten, mit diesen Täuschungsdokumenten zu interagieren, können die Angreifer den PicassoLoader-Downloader auf ihren Systemen ausführen.
Sobald PicassoLoader erfolgreich bereitgestellt wurde, dient es als Kanal für die nächste Phase des Angriffs. Es ermöglicht die Installation und Ausführung von zwei weiteren Arten von Malware: Cobalt Strike Beacon und njRAT. Der Cobalt Strike Beacon ist ein hochentwickeltes Penetrationstest-Tool, das es Angreifern ermöglicht, unbefugten Zugriff und Kontrolle über kompromittierte Systeme zu erlangen. Bei njRAT handelt es sich um einen Fernzugriffstrojaner, der den Angreifern unbefugten Fernzugriff auf die infizierten Systeme ermöglicht und es ihnen ermöglicht, unentdeckt bösartige Aktivitäten auszuführen.
Inhaltsverzeichnis
Die PicassoLoader-Malware wird als Teil einer mehrstufigen Infektionskette eingesetzt
Die Angreifer hinter PicassoLoader nutzten für ihre schädlichen Aktivitäten eine mehrstufige Infektionskette. In der Anfangsphase wurden kompromittierte Microsoft Office-Dokumente verwendet, wobei die Dateiformate Microsoft Excel und PowerPoint am häufigsten verwendet wurden. Diese Dokumente dienen als Ausgangspunkt für den Angriff.
Den Office-Dokumenten folgend sind ein ausführbarer Downloader und Nutzdaten in einer Bilddatei verborgen. Diese Taktik wurde wahrscheinlich eingesetzt, um die Erkennung des Downloaders und der Nutzlast für Sicherheitssysteme schwieriger zu machen. Durch das Verstecken in einer Bilddatei wollen die Angreifer Sicherheitsmaßnahmen umgehen und die Chancen einer erfolgreichen Infiltration erhöhen.
Einige dieser Angriffe wurden einem Bedrohungsakteur namens GhostWriter zugeschrieben, der auch als UAC-0057 oder UNC1151 verfolgt wird. Es wird angenommen, dass die Beweggründe und Ziele von GhostWriter mit den Interessen der belarussischen Regierung übereinstimmen.
Zahlreiche gezielte Angriffe gegen die Ukraine wurden beobachtet
Erwähnenswert ist, dass ein Teil dieser Angriffe bereits im vergangenen Jahr vom ukrainischen Computer Emergency Response Team (CERT-UA) dokumentiert wurde. Ein bemerkenswertes Beispiel ereignete sich im Juli 2022, als mit Makros beladene PowerPoint-Dokumente zur Verbreitung der Agent-Tesla -Malware eingesetzt wurden. Dieser Vorfall verdeutlichte die Verwendung von Makros als Mittel zur Verbreitung von Malware und zur Kompromittierung der Systeme der Opfer.
Die bei diesen Angriffen verwendeten Infektionsketten basieren auf Social-Engineering-Methoden, um Opfer davon zu überzeugen, Makros in den Office-Dokumenten zu aktivieren. Sobald die Makros aktiviert sind, wird ein VBA-Makro ausgelöst, das zur Bereitstellung der PicassoLoader-DLL-Downloader-Bedrohung führt. Dieser Downloader stellt dann eine Verbindung mit einer von den Angreifern kontrollierten Website her, um die Nutzlast der nächsten Stufe abzurufen, die in eine scheinbar legitime Bilddatei eingebettet ist. Die endgültige Schadsoftware ist in dieser Bilddatei verborgen.
Diese jüngsten Enthüllungen von CERT-UA fallen mit ihrer Berichterstattung über mehrere Phishing-Operationen zusammen, die die SmokeLoader-Malware verbreiten. Darüber hinaus wurde ein Smishing-Angriff identifiziert, der sich gegen Telegram-Benutzer richtete, mit dem Ziel, unbefugte Kontrolle über deren Konten zu erlangen.
GhostWriter ist nur eine der Cybercrime-Gruppen, die es auf die Ukraine abgesehen haben
Die Ukraine ist zum Ziel mehrerer Bedrohungsakteure geworden, darunter der berüchtigten russischen Nationalstaatsgruppe APT28 . Es wurde beobachtet, dass APT28 eine Taktik zum Versenden von Phishing-E-Mails mit HTML-Anhängen anwendet, um den Empfängern vorzutäuschen, dass in ihrem UKR.NET- und Yahoo!-Konto verdächtige Aktivitäten stattfinden. Konten. Die E-Mails fordern Benutzer auf, ihre Passwörter zu ändern, führen sie jedoch stattdessen auf gefälschte Zielseiten, die dazu dienen, ihre Anmeldeinformationen zu sammeln.
Diese jüngste Entwicklung ist Teil eines umfassenderen Musters, das bei den Aktivitäten von Hackern, die mit dem russischen Militärgeheimdienst (GRU) in Verbindung stehen, zu beobachten ist. Sie haben bei ihren disruptiven Operationen gegen die Ukraine ein „Standard-Fünf-Phasen-Playbook“ übernommen und demonstrieren damit eine bewusste Anstrengung, die Geschwindigkeit, das Ausmaß und die Intensität ihrer Angriffe zu erhöhen.
