Paper Werewolf implementeert PowerModul -implantaat in gerichte cyberaanvallen op Russische sectoren

Cyberbeveiliging
Paper Werewolf Deploys PowerModul Implant

De dreigingsacteur bekend als Weerwolf papier is geobserveerd uitsluitend gericht op Russische entiteiten met een nieuw implantaat genaamd Powermodul.

De activiteit, die plaatsvond tussen juli en december 2024, sloot organisaties uit in de massamedia, telecommunicatie, bouw, overheidsentiteiten en energiesectoren, zei Kaspersky in een nieuw rapport dat donderdag werd gepubliceerd.

Paper Werewolf, ook bekend als Goffee, wordt beoordeeld als ten minste zeven campagnes sinds 2022, volgens Bi.zone, met de aanvallen voornamelijk gericht op de overheid, energie, financiële, media en andere organisaties.

Aanvalsketens die door de dreigingsacteur zijn gemonteerd, zijn ook waargenomen met een verstorende component, waarbij de intrusies verder gaan dan het distribueren van malware voor spionagedoeleinden om ook wachtwoorden die bij werknemersaccounts horen te wijzigen.

De aanvallen zelf worden geïnitieerd via phishing-e-mails die een macro-geregen kunstaasdocument bevatten, dat bij het openen en inschakelen van macro’s de weg vrijmaakt voor de implementatie van een op PowerShell gebaseerde externe toegang tot Trojan, bekend als PowerRat.

De malware is ontworpen om een ​​payload op de volgende fase te leveren, vaak een aangepaste versie van de mythische framework-agent bekend als PowerTaskel en QwakmyAgent. Een ander hulpmiddel in het Arsenal van de dreigingsacteur is een kwaadaardige IIS -module genaamd Owowa, die wordt gebruikt voor het ophalen van Microsoft Outlook -referenties die door gebruikers op de webclient zijn ingevoerd.

De nieuwste set aanvallen die door Kaspersky zijn gedocumenteerd, begint met een kwaadwillende RAR -archiefbijlage met een uitvoerbaar bestand dat zich vermomt als een PDF of een Word -document met behulp van een dubbele extensie (dwz, *.pdf.exe of *.doc.exe). Wanneer het uitvoerbare bestand wordt gelanceerd, wordt het lokvestand gedownload van een externe server en wordt getoond aan de gebruiker, terwijl de infectie doorgaat naar de volgende fase op de achtergrond.

“Het bestand zelf is een Windows -systeembestand (explorer.exe of xpsrchvw.exe), met een deel van de code gepatcht met een kwaadaardige shellcode,” zei het. “De shellcode is vergelijkbaar met wat we in eerdere aanvallen zagen, maar bevat bovendien een verdoezelde mythische agent, die onmiddellijk begint te communiceren met de command-and-control (C2) -server.”

Paper Werewolf implementeert PowerModul Implant

De alternatieve aanvalsreeks is veel uitgebreider, met behulp van een RAR -archief dat een Microsoft Office -document insluit met een macro die fungeert als een druppelaar om PowerModul te implementeren en te lanceren, een PowerShell -script dat in staat is om extra PowerShell -scripts van de C2 -server te ontvangen en uit te voeren.

De achterdeur zou sinds het begin van 2024 zijn gebruikt, waarbij de dreigingsacteurs het aanvankelijk gebruiken om PowerTaskel te downloaden en uit te voeren op gecompromitteerde hosts. Sommige van de andere payloads die door PowerModul zijn gedropt, worden hieronder vermeld –

  • Flashfilegrabberdie wordt gebruikt om bestanden te stelen van verwijderbare media, zoals flash drives, en deze naar de C2 -server te exfiltreren
  • FlashfilegrabberofflineEen variant van flashfilegrabber die verwijderbare media zoekt naar bestanden met specifieke extensies, en wanneer u wordt gevonden, kopieert ze naar de lokale schijf binnen de map “%temp% cachestore connect “
  • USB -wormdie in staat is om verwijderbare media te infecteren met een kopie van PowerModul

PowerTaskel is functioneel vergelijkbaar met PowerModul omdat het ook is ontworpen om PowerShell -scripts uit te voeren die door de C2 -server zijn verzonden. Maar bovendien kan het informatie over de beoogde omgeving verzenden in de vorm van een “inchecken” -bericht, en andere opdrachten uitvoeren die van de C2 -server zijn ontvangen als taken. Het is ook uitgerust om rechten te escaleren met behulp van het PSEXEC -hulpprogramma.

In ten minste één instantie is PowerTaskel gevonden om een ​​script te ontvangen met een mapfilegrabbercomponent die, naast het repliceren van de functies van FlashFileGrabber, de mogelijkheid omvat om bestanden uit externe systemen te verzamelen via een hardcode netwerkpad met behulp van het SMB -protocol.

“Voor het eerst gebruikten ze woorddocumenten met kwaadaardige VBA -scripts voor de eerste infectie,” zei Kaspersky. “Onlangs hebben we opgemerkt dat Goffee het gebruik van PowerTaskel in toenemende mate verlaat ten gunste van de binaire mythische agent tijdens laterale beweging.”

De ontwikkeling komt als Bi.zone een andere bedreigingsgroep met de naam Sapphire Werewolf toeschreef aan een phishing-campagne die een bijgewerkte versie van de open-source Amethyst Stealer distribueert.

De Stealer haalt “referenties van Telegram en verschillende browsers op, waaronder Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa en Edge Chromium, evenals Filezilla- en SSH -configuratiebestanden,” zei het Russische bedrijf, dat toevoegt dat het ook documenten kan pakken, inclusief die op verplaatsbare media.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google laadt stilletjes meer kantoorruimte uit, en de redenen stapelen zich op

Het antwoord van Google op AI -elektriciteitsverbruik is meer AI

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]