Търсене
Close this search box.

Зловредният софтуер PicassoLoader се използва усилено в Украйна и Полша

Правителствени структури, военни организации и цивилни потребители в Украйна и Полша са били обект на серия от кампании, целящи кражба на чувствителни данни и получаване на постоянен отдалечен достъп до заразените системи.

Комплектът от прониквания, който се простира от април 2022 г. до юли 2023 г., използва фишинг примамки и примамливи документи, за да разгърне свалящ зловреден софтуер, наречен PicassoLoader, който действа като канал за стартиране на Cobalt Strike Beacon и njRAT.

„Атаките използваха многоетапна инфекциозна верига, инициирана със зловредни документи от Microsoft Office, най-често използващи файловите формати Microsoft Excel и PowerPoint“, казва в новия доклад изследователят от Cisco Talos Ваня Свайцер. „Това беше последвано от изпълним файл за изтегляне и полезен товар, скрит във файл с изображение, което вероятно затрудняваше откриването му.“

Някои от дейностите се приписват на извършител, наречен GhostWriter (известен още като UAC-0057 или UNC1151), за чиито приоритети се твърди, че съвпадат с беларуското правителство.

Струва си да се отбележи, че подгрупа от тези атаки вече е документирана през изминалата година от Украинския екип за реагиране при компютърни инциденти (CERT-UA) и Fortinet FortiGuard Labs, като при една от тях през юли 2022 г. са използвани макрозаредени документи на PowerPoint за доставяне на зловредния софтуер Agent Tesla.

Веригите за заразяване имат за цел да убедят жертвите да активират макроси, като макросът VBA е разработен така, че да пусне DLL даунлоудър, известен като PicassoLoader, който впоследствие се свързва с контролиран от нападателя сайт, за да изтегли полезния товар на следващия етап – легитимен файл с изображение, в който е вграден крайният зловреден софтуер.

Разкритието идва в момент, когато CERT-UA подробно описа редица фишинг операции, при които се разпространява зловредният софтуер SmokeLoader, както и smishing атака, предназначена за получаване на неоторизиран контрол върху акаунтите на мишените в Telegram.

Миналия месец CERT-UA разкри кампания за кибершпионаж, насочена към държавни организации и представители на медиите в Украйна, която използва електронна поща и мигновени съобщения за разпространение на файлове, които, когато бъдат стартирани, водят до изпълнение на PowerShell скрипт, наречен LONEPAGE, за извличане на полезен товар за кражба на браузър (THUMBCHOP) и кийлогър (CLOGFLAG) на следващ етап.

GhostWriter е един от многото извършители на  заплахи, които са насочили вниманието си към Украйна. Сред тях е и руската национална група APT28, която е наблюдавана да използва HTML прикачени файлове във фишинг имейли, които подканват получателите да променят паролите си в UKR.NET и Yahoo! поради открита подозрителна активност в акаунтите им, за да ги пренасочат към фалшиви целеви страници, които в крайна сметка крадат техните идентификационни данни.

Разработката следва и възприемането на „стандартен петфазен наръчник“ от хакери, свързани с руското военно разузнаване (ГРУ), в техните деструктивни операции срещу Украйна в „целенасочени усилия за увеличаване на скоростта, мащаба и интензивността“ на атаките им.

Това включва използване на инфраструктурата „на ръба на земята“ за получаване на първоначален достъп, използване на техники „на ръба на земята“ за провеждане на разузнаване, странично придвижване и кражба на информация с цел ограничаване на отпечатъка от зловреден софтуер и избягване на откриване, създаване на постоянен, привилегирован достъп чрез обекти на груповата политика (GPO), внедряване на чистачки и телеграфиране на действията им чрез хакерски образи в Telegram.

„Предимствата, които предоставя наръчникът, са особено подходящи за бързо развиваща се и силно оспорвана оперативна среда, което показва, че военните цели на Русия вероятно са направлявали избраните от ГРУ тактически начини на действие“, заявиха от Mandiant, собственост на Google.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
15/07/2024

Банките в Сингапур ще према...

Паричният орган на Сингапур (MAS) обяви...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!