Mã độc PicassoLoader được sử dụng trong các cuộc tấn công mạng đang diễn ra tại Ukraine và Ba Lan

16:30 | 21/07/2023

Các nhà nghiên cứu thuộc nhóm tình báo Talos của Cisco đã phát hiện một số chiến dịch tấn công mạng gần đây nhắm vào các tổ chức chính phủ, quân sự và dân sự tại Ukraine và Ba Lan để thực hiện đánh cắp thông tin dữ liệu nhạy cảm để giành quyền truy cập từ xa vào các hệ thống bị lây nhiễm.

Các giai đoạn tấn công

Theo các nhà nghiên cứu, chiến dịch được phát hiện kéo dài từ tháng 4/2022 đến tháng 7/2023, bằng cách sử dụng một số tệp Microsoft Excel và PowerPoint độc hại để làm mồi nhử dụ dỗ nạn nhân kích vào, từ đó thực thi mã độc cho trình tải xuống có tên là “PicassoLoader”, hoạt động như một đường dẫn để khởi chạy Cobalt Strike Beacon và njRAT.

Các nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc ​​hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint. Tiếp theo là một trình tải xuống có thể thực thi và payload được ẩn giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện trở nên khó khăn hơn”.

Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) quy kết một số hoạt động này cho nhóm tin tặc “GhostWriter” (còn gọi là UAC-0057 hoặc UNC1151), có liên quan đến Chính phủ Belarus. Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được CERT-UA và Fortinet FortiGuard Labs ghi nhận trong năm qua, một trong số đó đã sử dụng các tài liệu PowerPoint chứa macro để phân phối mã độc Agent Tesla vào tháng 7/2022.

Dòng thời gian của các cuộc tấn công khác nhau

Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để thực thi payload giai đoạn tiếp theo, một tệp hình ảnh hợp pháp được nhúng vào tệp cuối cùng của phần mềm độc hại. Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối mã độc SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.

Tháng trước, CERT-UA cũng đã tiết lộ một chiến dịch gián điện mạng nhằm vào các tổ chức chính phủ và cơ quan truyền thông ở Ukraine khi sử dụng email và tin nhắn để phân phối tệp độc hại. Nếu được khởi chạy sẽ dẫn đến việc thực thi tập lệnh PowerShell có tên “LONEPAGE” để tìm nạp payload trong giai đoạn tiếp theo như trình đánh cắp trình duyệt “THUMBCHOP” và keylogger “CLOGFLAG”.

GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine, trong đó bao gồm nhóm tin tặc APT28, đã sử dụng tệp đính kèm HTML trong email lừa đảo để nhắc người nhận thay đổi mật khẩu của họ trên UKR.NET và Yahoo! với cảnh báo phát hiện các hoạt động đáng ngờ trong tài khoản của họ, điều này sẽ chuyển hướng đến các trang đích không có thật và từ đó tin tặc có thể đánh cắp thông tin đăng nhập của người dùng.