Aktivis oposisi di Belarus serta militer Ukraina dan organisasi pemerintah adalah target kampanye baru yang menggunakan dokumen Microsoft Excel yang dilacak malware sebagai umpan untuk memberikan varian baru Picassoloader.
Cluster ancaman telah dinilai sebagai perpanjangan dari kampanye yang sudah berjalan lama yang dipasang oleh aktor ancaman Belarus yang dijuluki penulis hantu (alias Moonscape, TA445, UAC-0057, dan UNC1151) sejak 2016. Dikenal untuk selaras dengan kepentingan keamanan Rusia dan mempromosikan narasi yang kritis terhadap NATO.
“Kampanye ini telah dalam persiapan sejak Juli-Agustus 2024 dan memasuki fase aktif pada bulan November-Desember 2024,” kata peneliti Sentinelone Tom Hegel dalam sebuah laporan teknis yang dibagikan kepada Hacker News. “Sampel malware terbaru dan aktivitas infrastruktur perintah-dan-kontrol (C2) menunjukkan bahwa operasi tetap aktif dalam beberapa hari terakhir.”
Titik awal rantai serangan yang dianalisis oleh Cybersecurity Company adalah dokumen bersama Google Drive yang berasal dari akun bernama Vladimir Nikiforech dan menjadi tuan rumah arsip RAR.
File tikus ini mencakup buku kerja Excel berbahaya, yang, ketika dibuka, memicu eksekusi makro yang dikalahkan ketika calon korban memungkinkan makro dijalankan. Makro mulai menulis file DLL yang pada akhirnya membuka jalan bagi versi yang disederhanakan dari Picassoloader.
Pada fase berikutnya, file Decoy Excel ditampilkan kepada korban, sedangkan, di latar belakang, muatan tambahan diunduh ke sistem. Baru-baru ini pada Juni 2024, pendekatan ini digunakan untuk memberikan kerangka kerja Cobalt Strike Post-Exploitation.
Sentinelone mengatakan mereka juga menemukan dokumen Excel yang dipersenjatai lainnya dengan umpan bertema Ukraina untuk mengambil malware tahap kedua yang tidak diketahui dari URL jarak jauh (“Sciencealert[.]berbelanja “) dalam bentuk gambar JPG yang tampaknya tidak berbahaya, sebuah teknik yang dikenal sebagai steganografi. URL tidak lagi tersedia.
Dalam contoh lain, dokumen Excel yang terjebak booby digunakan untuk mengirimkan DLL bernama LibCMD, yang dirancang untuk menjalankan cmd.exe dan terhubung ke stdin/stdout. Ini secara langsung dimuat ke dalam memori sebagai perakitan .NET dan dieksekusi.
“Sepanjang tahun 2024, Ghostwriter telah berulang kali menggunakan kombinasi Buku Kerja Excel yang berisi makro VBA yang terobsesi dengan makropack dan menjatuhkan pengunduh .NET tertanam yang dikaburkan dengan Confuserex,” kata Hegel.
“Sementara Belarus tidak secara aktif berpartisipasi dalam kampanye militer dalam perang di Ukraina, aktor ancaman dunia maya yang terkait dengannya tampaknya tidak memiliki reservasi tentang melakukan operasi spionase dunia maya terhadap target Ukraina.”
