Tehdit oyuncusu olarak bilinen Kağıt kurt adam sadece Rus varlıklarını hedefleyen yeni bir implant Powermodul.
Kaspersky, Perşembe günü yayınlanan yeni bir raporda, Temmuz ve Aralık 2024 arasında gerçekleşen faaliyetin kitle iletişim araçları, telekomünikasyon, inşaat, hükümet kuruluşları ve enerji sektörlerindeki kuruluşları seçtiğini söyledi.
Bi.zone’a göre, Goffee olarak da bilinen Goffee olarak da bilinen Kağıt kurtadamının 2022’den bu yana en az yedi kampanya yürüttüğü değerlendiriliyor.
Tehdit oyuncusu tarafından monte edilen saldırı zincirleri de yıkıcı bir bileşen dahil gözlemlenmiştir, burada müdahaleler, çalışan hesaplarına ait şifreleri değiştirmek için casus yazılımları dağıtımın ötesine geçer.
Saldırıların kendileri, makroları açıp etkinleştirdikten sonra, Powerrat olarak bilinen bir PowerShell tabanlı uzaktan erişim Truva atının dağıtımının yolunu açan makro bağcıklı bir cazibe belgesi içeren kimlik avı e-postaları aracılığıyla başlatılır.
Kötü amaçlı yazılım, genellikle Powertaskel ve Qwakmyagent olarak bilinen mit çerçeve ajanının özel bir versiyonu olan bir sonraki aşama yük sunmak için tasarlanmıştır. Tehdit oyuncusu Arsenal’deki bir başka araç, Web istemcisine kullanıcılar tarafından girilen Microsoft Outlook kimlik bilgilerini almak için kullanılan OWOWA adlı kötü niyetli bir IIS modülüdür.
Kaspersky tarafından belgelenen en son saldırılar kümesi, bir çift uzantı (yani *.pdf.exe veya *.doc.exe) kullanılarak PDF veya Word belgesi olarak maskelenen bir yürütülebilir ürün içeren kötü niyetli bir RAR arşivi eki ile başlar. Yürütülebilir uygulanabilir başlatıldığında, tuzak dosyası uzak bir sunucudan indirilir ve kullanıcıya gösterilirken, enfeksiyon arka planda bir sonraki aşamaya geçer.
“Dosyanın kendisi, kodunun bir kısmı kötü niyetli bir kabuk kodu ile yamalanmış bir Windows System dosyasıdır (explorer.exe veya xpsrchvw.exe).” Dedi. “Shellcode daha önceki saldırılarda gördüğümüze benzer, ancak ek olarak, komut ve kontrol (C2) sunucusu ile iletişim kurmaya başlayan gizlenmiş bir efsanevi ajan içerir.”
Alternatif saldırı dizisi, C2 sunucusundan ek powerShell komut dosyalarını alabilen ve yürütebilen bir PowerShell komut dosyası olan PowerShell komut dosyası olan PowerModul’u dağıtmak ve piyasaya süren bir Microsoft Office belgesini yerleştiren bir RAR arşivi kullanılarak çok daha ayrıntılıdır.
Arka kapı, 2024’ün başından beri kullanıldığı söyleniyor ve tehdit aktörleri başlangıçta Powertaskel’i güvenliği ihlal edilmiş ana bilgisayarlarda indirmek ve yürütmek için kullanıyor. Powermodul tarafından bırakılan diğer yüklerden bazıları aşağıda listelenmiştir –
- FlashfilegrabberFlash sürücüler gibi çıkarılabilir ortamlardan dosyaları çalmak ve bunları C2 sunucusuna eklemek için kullanılan
- FlashFileGrabberOfflinebelirli uzantıları olan dosyalar için çıkarılabilir ortamı arayan ve bulunduğunda, bunları “%temp%\ cachestore \ connect \” klasör içindeki yerel diske kopyalar.
- USB solucanıÇıkarılabilir ortamı Powermodul’un bir kopyasıyla enfekte edebilen
PowerTaskel, C2 sunucusu tarafından gönderilen PowerShell komut dosyalarını çalıştırmak için tasarlanmış olması nedeniyle Powermodul’a fonksiyonel olarak benzer. Ancak ek olarak, hedeflenen ortam hakkında bilgi gönderebilir ve bir “kontrol” mesajı şeklinde ve C2 sunucusundan alınan diğer komutları görev olarak yürütebilir. Ayrıca Psexec yardımcı programını kullanarak ayrıcalıkları artıracak şekilde donatılmıştır.
En az bir örnekte, PowerTaskel’in, FlashFileGrabber’in özelliklerini çoğaltmanın yanı sıra, SMB protokolünü kullanarak sert kodlanmış bir ağ yolu aracılığıyla uzak sistemlerden dosya toplama olanağı içeren bir katkı filegrabber bileşenine sahip bir komut dosyası aldığı bulunmuştur.
Kaspersky, “İlk kez, ilk enfeksiyon için kötü amaçlı VBA komut dosyaları olan kelime belgeleri kullandılar.” Dedi. “Son zamanlarda, Goffee’nin yanal hareket sırasında ikili mitik ajan lehine Powertaskel’in kullanımını giderek daha fazla terk ettiğini gözlemledik.”
Geliştirme, Bi.zone’un Sapphire Kurtarıcı adlı başka bir tehdit grubunu, açık kaynaklı ametist çalkalanmasının güncellenmiş bir versiyonunu dağıtan bir kimlik avı kampanyasına atfettiği gibi geliyor.
Stealer, “Telegram’dan ve Chrome, Opera, Yandex, Cesur, Orbitum, Atom, Komet ve SSH Yapılandırma Dosyaları dahil olmak üzere çeşitli tarayıcılardan alınır” dedi.