Belarus’taki muhalefet aktivistleri, Ukrayna askeri ve hükümet kuruluşları, yeni bir Picassoloader varyantı sunmak için kötü amaçlı Microsoft Excel belgelerini lurs olarak kullanan yeni bir kampanyanın hedefidir.
Tehdit kümesinin, 2016’dan bu yana, Rus güvenlik menfaatleri ile uyumlu olduğu bilinen Belarus’a hizalanmış bir tehdit aktörü tarafından monte edilen uzun süredir devam eden bir kampanyanın bir uzantısı olarak değerlendirildi. ve NATO eleştirel anlatılarını teşvik edin.
Sentinelone araştırmacısı Tom Hegel, Hacker News ile paylaşılan teknik bir raporda, “Kampanya Temmuz-Ağustos 2024’ten bu yana hazırlanıyor ve Kasım-Aralık 2024’te aktif aşamaya girdi.” Dedi. “Son kötü amaçlı yazılım örnekleri ve komut ve kontrol (C2) altyapı etkinliği, işlemin son günlerde aktif kaldığını göstermektedir.”
Siber güvenlik şirketi tarafından analiz edilen saldırı zincirinin başlangıç noktası, Vladimir Nikiforech adlı bir hesaptan kaynaklanan ve bir RAR arşivine ev sahipliği yapan bir Google Drive paylaşılan belgedir.
Sıçan dosyası, açıldığında, aday kurbanlar makroların çalıştırılmasını sağladığında, şaşkın bir makro’nun yürütülmesini tetikleyen kötü niyetli bir Excel çalışma kitabı içerir. Makro, sonuçta Picassoloader’ın basitleştirilmiş bir sürümünün yolunu açan bir DLL dosyası yazmaya devam ediyor.
Bir sonraki aşamada, kurbana bir tuzak excel dosyası görüntülenirken, arka planda sisteme ek yükler indirilir. Haziran 2024 kadar yakın bir zamanda, bu yaklaşım, sömürü sonrası çerçeve kobalt grevini sunmak için kullanıldı.
Sentinelone, Ukrayna temalı yemleri taşıyan diğer silahlandırılmış Excel belgelerini, bilinmeyen bir ikinci aşamalı kötü amaçlı yazılımları uzak bir URL’den almak için keşfettiğini söyledi (“Sciencealert[.]Alışveriş “) görünüşte zararsız bir JPG görüntüsü, steganografi olarak bilinen bir teknik şeklinde. URL’ler artık mevcut değil.
Başka bir durumda, Booby Tapınık Excel belgesi, cmd.exe çalıştırmak ve stdin/stdout’a bağlanmak üzere tasarlanmış LIBCMD adlı bir DLL sunmak için kullanılır. Doğrudan bir .NET düzeneği olarak belleğe yüklenir ve yürütülür.
Hegel, “2024 boyunca, Ghostwriter defalarca Macropack ile takas edilmiş VBA makrolarını içeren Excel çalışma kitaplarının bir kombinasyonunu kullandı ve confuserex ile şaşkın gömülü .NET indiricileri.” Dedi.
Diyerek şöyle devam etti: “Belarus Ukrayna’daki savaştaki askeri kampanyalara aktif olarak katılmasa da, onunla ilişkili siber tehdit aktörlerinin Ukrayna hedeflerine karşı siber casusluk operasyonları yürütme konusunda hiçbir rezervasyonu yok gibi görünüyor.”