Aktor ancaman yang dikenal sebagai Werewolf kertas telah diamati secara eksklusif menargetkan entitas Rusia dengan implan baru yang disebut PowerModul.
Kegiatan, yang berlangsung antara Juli dan Desember 2024, memilih organisasi di media massa, telekomunikasi, konstruksi, entitas pemerintah, dan sektor energi, kata Kaspersky dalam sebuah laporan baru yang diterbitkan Kamis.
Makalah Werewolf, juga dikenal sebagai Goffee, dinilai telah melakukan setidaknya tujuh kampanye sejak 2022, menurut Bi.zone, dengan serangan yang terutama ditujukan untuk pemerintah, energi, keuangan, media, dan organisasi lainnya.
Rantai serangan yang dipasang oleh aktor ancaman juga telah diamati menggabungkan komponen yang mengganggu, di mana intrusi melampaui mendistribusikan malware untuk tujuan spionase juga mengubah kata sandi milik akun karyawan.
Serangan itu sendiri dimulai melalui email phishing yang berisi dokumen umpan makro, yang, setelah membuka dan memungkinkan makro, membuka jalan bagi penyebaran Trojan akses jarak jauh berbasis PowerShell yang dikenal sebagai Powerrat.
Malware ini dirancang untuk memberikan muatan tahap berikutnya, seringkali merupakan versi khusus dari agen kerangka mitos yang dikenal sebagai Powertaskel dan Qwakmyagent. Alat lain dalam arsenal aktor ancaman adalah modul IIS berbahaya yang disebut Owowa, yang digunakan untuk mengambil kredensial Microsoft Outlook yang dimasukkan oleh pengguna pada klien web.
Serangkaian serangan terbaru yang didokumentasikan oleh Kaspersky dimulai dengan lampiran arsip RAR berbahaya yang berisi eksekusi yang menyamar sebagai PDF atau dokumen Word menggunakan ekstensi ganda (yaitu, *.pdf.exe atau *.doc.exe). Ketika executable diluncurkan, file umpan diunduh dari server jarak jauh dan ditampilkan kepada pengguna, sementara infeksi berlangsung ke tahap berikutnya di latar belakang.
“File itu sendiri adalah file sistem Windows (explorer.exe atau xpsrchvw.exe), dengan bagian dari kodenya ditambal dengan shellcode berbahaya,” katanya. “Shellcode mirip dengan apa yang kita lihat dalam serangan sebelumnya, tetapi selain itu berisi agen mitos yang terkalahkan, yang segera mulai berkomunikasi dengan server perintah-dan-kontrol (C2).”
Urutan serangan alternatif jauh lebih rumit, menggunakan arsip RAR yang menanamkan dokumen Microsoft Office dengan makro yang bertindak sebagai penetes untuk menggunakan dan meluncurkan PowerModul, skrip PowerShell yang mampu menerima dan melaksanakan skrip PowerShell tambahan dari server C2.
Backdoor dikatakan telah digunakan sejak awal tahun 2024, dengan para aktor ancaman awalnya menggunakannya untuk mengunduh dan mengeksekusi Powertaskel pada host yang dikompromikan. Beberapa muatan lain yang dijatuhkan oleh PowerModul tercantum di bawah ini –
- Flashfilegrabberyang digunakan untuk mencuri file dari media yang dapat dilepas, seperti flash drive, dan mengeluarkannya ke server C2
- Flashfilegrabberofflinevarian flashfilegrabber yang mencari media yang dapat dilepas untuk file dengan ekstensi spesifik, dan ketika ditemukan, menyalinnya ke disk lokal dalam folder “%Temp%\ Cachestore \ connect \”
- Worm USByang mampu menginfeksi media yang dapat dilepas dengan salinan PowerModul
Powertaskel secara fungsional mirip dengan Powermodul karena juga dirancang untuk menjalankan skrip PowerShell yang dikirim oleh server C2. Tetapi di samping itu, ia dapat mengirim informasi tentang lingkungan yang ditargetkan dalam bentuk pesan “checkin”, serta menjalankan perintah lain yang diterima dari server C2 sebagai tugas. Ini juga diperlengkapi untuk meningkatkan hak istimewa menggunakan utilitas psexec.
Setidaknya dalam satu contoh, Powertaskel telah ditemukan menerima skrip dengan komponen folderFileGrabber yang, selain mereplikasi fitur flashfilegrabber, termasuk kemampuan untuk mengumpulkan file dari sistem jarak jauh melalui jalur jaringan yang hardcoded menggunakan protokol SMB.
“Untuk pertama kalinya, mereka menggunakan dokumen kata dengan skrip VBA berbahaya untuk infeksi awal,” kata Kaspersky. “Baru -baru ini, kami telah mengamati bahwa Goffee semakin meninggalkan penggunaan Powertaskel demi agen mitos biner selama gerakan lateral.”
Perkembangan ini datang ketika BI.Zone mengaitkan kelompok ancaman lain yang disebut Sapphire Werewolf dengan kampanye phishing yang mendistribusikan versi terbaru dari pencuri Amethyst Sumber Open-Source.
Pencuri mengambil “kredensial dari telegram dan berbagai browser, termasuk Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, dan Edge Chromium, serta file konfigurasi Filezilla dan SSH,” kata perusahaan Rusia, menambahkannya juga dapat mengambil dokumen, termasuk yang disimpan di media yang dapat dilepas.
