Специалисты BI.ZONE Threat Intelligence обнаружили рост активности кластера Paper Werewolf (также известного как GOFFEE). С 2022 года этот кластер провел как минимум семь кампаний, направленных на организации в различных секторах, таких как правительство, энергетика, финансы и СМИ.
Paper Werewolf APT
Злоумышленники, стоящие за Paper Werewolf, используют фишинговую технику, которая заключается в рассылке фишинговых писем, содержащих документы Microsoft Word с вредоносными макросами. Отличительной особенностью новой активности является то, что злоумышленники расширили свои мотивы. В одном случае они не только проникли в ИТ-инфраструктуру с целью шпионажа, но и вывели ее из строя.
Чтобы увеличить шансы на успех, киберпреступники часто рассылают фишинговые письма от имени известных организаций или учреждений, таких как крупные корпорации, регулирующие органы и правоохранительные учреждения. Однако важно помнить, что эти организации не несут ответственности за действия злоумышленников и причиненный ущерб.
Основные выводы, которые можно сделать из этой кампании Paper Werewolf, - это способность злоумышленников не только заниматься кибершпионажем, но и нарушать работу ИТ-инфраструктуры жертвы после достижения своей основной цели. Кроме того, злоумышленники активно экспериментируют с фреймворками для постэксплойта и разрабатывают собственные импланты, что усложняет задачу обнаружения. PowerShell - распространенный инструмент, используемый злоумышленниками благодаря своей универсальности, которая позволяет им обходить защиту организаций.
Сама кампания заключается в распространении документов Microsoft Word через фишинговые письма. Эти документы маскируются под файлы различных организаций, а их содержимое кодируется таким образом, чтобы предложить жертве включить макросы. Если жертва разрешает выполнение макроса, содержимое документа декодируется и в нем ищется вредоносная полезная нагрузка. Полезная нагрузка имеет Base64-кодировку и разделена на две части, разделенные строкой CHECKSUM.
После декодирования полезная нагрузка записывается в два файла на скомпрометированной системе. Для обеспечения сохранности путь к одному из файлов записывается в специальный параметр реестра. Злоумышленники также используют переменные окружения, чтобы скрыть вредоносную программу на скомпрометированной системе. В одном случае вредоносный документ содержал ссылку на изображение размером 1 × 1 пиксель, что позволило злоумышленникам определить, открывала ли жертва документ или нет.
HTA-файл играет важную роль в кампании, создавая и выполняя сценарий PowerShell. Этот скрипт, называемый PowerRAT, устанавливает для соответствующих файлов атрибут Hidden и связывается с сервером для получения команд в формате XML. Эти команды содержат такие атрибуты, как счетчик выполненных заданий.
В целом кластер Paper Werewolf демонстрирует эволюционирующую тактику киберпреступников, подчеркивая необходимость для организаций сохранять бдительность и усиливать защиту от фишинговых атак и вредоносного ПО.
Indicators of Compromise
IPv4
- 185.244.182.87
- 5.252.176.55
- 85.198.110.216
- 94.103.85.47
Domains
- disk-yanbex.ru
- lobbyluxuries.com
SHA256
- 13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b
- 37b3fa8a3a05e4aedb25eb38d9e4524722f28c21fac9f788f87113c5b9184ef5
- 804cd68f40d0bb93b6676447af719388e95cafd5a2b017a0386eb7de590ebf17
- 8ba4cd7ea29f990cb86291003f82239bfafe28910d080b5b7d3db78e83c1b6f3
- fa8853aaa156485855b77a16a2f613d9f58d82ef63505be8b19563827089bf52
