L’attore della minaccia noto come Lupo mannaro di carta è stato osservato prendendo di mira esclusivamente le entità russe con un nuovo impianto chiamato Powermodul.
L’attività, che ha avuto luogo tra luglio e dicembre 2024, ha individuato le organizzazioni nei settori dei mass media, delle telecomunicazioni, della costruzione, delle enti governative e dell’energia, Kaspersky disse In un nuovo rapporto pubblicato giovedì.
Il lupo mannaro di carta, noto anche come Goffee, è valutato aver condotto almeno sette campagne dal 2022, secondo Bi.zone, con gli attacchi rivolti principalmente a governo, energia, finanziario, media e altre organizzazioni.
Le catene di attacco montate dall’attore della minaccia sono state anche osservate incorporando un componente dirompente, in cui le intrusioni vanno oltre la distribuzione di malware per scopi di spionaggio per cambiare anche password appartenenti ai conti dei dipendenti.
Gli attacchi stessi sono avviati tramite e-mail di phishing che contengono un documento di esca in fase di macro, che, al momento dell’apertura e dell’abilitazione di macro, apre la strada per lo spiegamento di un Trojan remoto di accesso basato su PowerShell noto come Powerrat.
Il malware è progettato per fornire un payload in stadio successivo, spesso una versione personalizzata del Mitico agente del framework noto come PowerTaskel E Qwakmyagent. Un altro strumento nell’arsenale dell’attore di minaccia è un modulo IIS dannoso chiamato Owwache viene utilizzato per il recupero delle credenziali di Microsoft Outlook inserite dagli utenti sul consumer Net.
L’ultimo set di attacchi documentati da Kaspersky inizia con un allegato di archivio RAR dannoso contenente un eseguibile che si maschera come un PDF o un documento Phrase usando una doppia estensione (cioè *.pdf.exe o *.doc.exe). Quando viene avviato l’eseguibile, il file esca viene scaricato da un server remoto e mostrato all’utente, mentre l’infezione procede alla fase successiva in background.
“Il file stesso è un file di sistema di Home windows (explorer.exe o xpsrchvw.exe), con una parte del suo codice patchato con un code malizioso”, ha detto. “Il code Shell è simile a quello che abbiamo visto negli attacchi precedenti, ma inoltre contiene un agente mitico offuscato, che inizia immediatamente a comunicare con il server di comando e controllo (C2).”
La sequenza di attacchi alternativa è molto più elaborata, utilizzando un archivio RAR che incorpora un documento Microsoft Workplace con una macro che funge da contagocce da distribuire e lanciare PowerModul, uno script PowerShell in grado di ricevere ed eseguire ulteriori scene di Powerhell dal server C2.
Si cube che il backdoor sia stato utilizzato dall’inizio del 2024, con gli attori delle minacce inizialmente che lo usano per scaricare ed eseguire PowerTaskel su host compromessi. Alcuni degli altri payload rilasciati da PowerModul sono elencati di seguito –
- FlashfileGrabberche viene utilizzato per rubare file da media rimovibili, come le unità flash ed esfiltrarli al server C2
- FlashfileGrabberofflineuna variante di FlashFileGrabber che cerca supporti rimovibili per file con estensioni specifiche e, se trovato, li copia sul disco locale all’interno della cartella “%temp% cachestore join “
- Worm USBche è in grado di infettare i media rimovibili con una copia di PowerModul
PowerTaskel è funzionalmente simile a PowerModul in quanto è anche progettato per eseguire script PowerShell inviati dal server C2. Inoltre, può inviare informazioni sull’ambiente mirato sotto forma di un messaggio di “controllo”, nonché eseguire altri comandi ricevuti dal server C2 come attività. È anche attrezzato per intensificare i privilegi utilizzando l’utilità PSEXEC.
In almeno una istanza, è stato scoperto che PowerTaskel riceve uno script con un componente FolderFileGrabber che, oltre a replicare le caratteristiche di FlashFileGrabber, embody la possibilità di raccogliere file da sistemi remoti tramite un percorso di rete con codice rigido utilizzando il protocollo SMB.
“Per la prima volta, hanno impiegato documenti di parole con script VBA dannosi per l’infezione iniziale”, ha detto Kaspersky. “Di recente, abbiamo osservato che Goffee sta abbandonando sempre più l’uso di PowerTaskel a favore dell’agente mitico binario durante il movimento laterale.”
Lo sviluppo arriva come bi.zone attribuito Un altro gruppo di minacce chiamato Werewolf di zaffiro a una campagna di phishing che distribuisce una versione aggiornata di Ametistauna derivazione dell’open-source Sapphirestealer.
Il Stealer recupera “le credenziali di Telegram e vari browser, tra cui Chrome, Opera, Yandex, Courageous, Orbitum, Atom, Kometa e Edge Chromium, nonché file di configurazione di Filezilla e SSH”, ha detto la società russa, aggiungendolo anche a prendere documenti, compresi quelli conservati su media rimovibili.
