Ngày 13 tháng 7 năm 2023THNCyber Attack
Các tổ chức chính phủ, tổ chức quân sự và người dùng dân sự ở Ukraine và Ba Lan đã được nhắm mục tiêu như một phần của một loạt chiến dịch được thiết kế để đánh cắp dữ liệu nhạy cảm và giành quyền truy cập từ xa liên tục vào các hệ thống bị nhiễm.
Nhóm xâm nhập, kéo dài từ tháng 4 năm 2022 đến tháng 7 năm 2023, tận dụng các mồi nhử lừa đảo và tài liệu mồi nhử để triển khai phần mềm độc hại cho trình tải xuống có tên là PicassoLoader, hoạt động như một đường dẫn để khởi chạy Cobalt Strike Beacon và njRAT.
Nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint”. “Tiếp theo là một trình tải xuống có thể thực thi và tải trọng được giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện nó trở nên khó khăn hơn.”
Một số hoạt động được quy cho một tác nhân đe dọa có tên là GhostWriter (còn gọi là UAC-0057 hoặc UNC1151), người có các ưu tiên được cho là phù hợp với chính phủ Bêlarut.
Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) và Fortinet FortiGuard Labs, một trong số đó sử dụng các tài liệu PowerPoint chứa macro để phân phối phần mềm độc hại Agent Tesla vào tháng 7 năm 2022. .
Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để tải trọng giai đoạn tiếp theo, một tệp hình ảnh hợp pháp nhúng tệp cuối cùng. phần mềm độc hại.
Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối phần mềm độc hại SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.
Tháng trước, CERT-UA đã tiết lộ một chiến dịch gián điệp mạng nhằm vào các tổ chức nhà nước và đại diện truyền thông ở Ukraine sử dụng email và tin nhắn tức thời để phân phối tệp, khi được khởi chạy, dẫn đến việc thực thi tập lệnh PowerShell có tên LONEPAGE để tìm nạp tiếp theo -giai đoạn tải trọng đánh cắp trình duyệt (THUMBCHOP) và keylogger (CLOGFLAG).
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine. Điều này cũng bao gồm nhóm quốc gia-nhà nước Nga APT28, đã được quan sát thấy sử dụng tệp đính kèm HTML trong email lừa đảo nhắc người nhận thay đổi UKR.NET và Yahoo! mật khẩu do hoạt động đáng ngờ được phát hiện trong tài khoản của họ để chuyển hướng họ đến các trang đích không có thật mà cuối cùng lấy cắp thông tin đăng nhập của họ.
Sự phát triển này cũng diễn ra sau khi các tin tặc liên kết với tình báo quân đội Nga (GRU) áp dụng “sách hướng dẫn năm giai đoạn tiêu chuẩn” trong các hoạt động gây rối chống lại Ukraine nhằm “nỗ lực có chủ ý nhằm tăng tốc độ, quy mô và cường độ” các cuộc tấn công của chúng. .
Điều này bao gồm việc tận dụng cơ sở hạ tầng live-on-the-edge để có quyền truy cập ban đầu, sử dụng các kỹ thuật live-off-the-land để tiến hành trinh sát, di chuyển ngang và đánh cắp thông tin để hạn chế dấu vết phần mềm độc hại và tránh bị phát hiện, tạo quyền truy cập đặc quyền, liên tục thông qua các đối tượng chính sách nhóm (GPO), triển khai các trình gạt nước và điện báo các hành vi của họ thông qua các nhân vật hacktivist trên Telegram.
Mandiant thuộc sở hữu của Google cho biết: “Những lợi ích mà sách hướng dẫn mang lại đặc biệt phù hợp với môi trường hoạt động có nhịp độ nhanh và tính cạnh tranh cao, cho thấy các mục tiêu thời chiến của Nga có thể đã định hướng cho các khóa hành động chiến thuật đã chọn của GRU”.
