Флешка, которая убивает сеть: новый вирус мимикрирует под USB
NewsMakerРоссийские компании столкнулись с изощрёнными методами цифрового вторжения.
Группировка Paper Werewolf, также известная под именем GOFFEE, развернула новый вредоносный инструмент под названием PowerModul для целенаправленных атак на российские организации. По информации «Лаборатории Касперского», активность была зафиксирована в период с июля по декабрь 2024 года и затронула структуры в сферах телекоммуникаций, строительства, массмедиа, энергетики и государственного управления.
По данным BI.ZONE, Paper Werewolf действует с 2022 года и провела не менее семи кампаний против организаций в различных секторах — от энергетики и финансов до СМИ. Отличительной чертой действий является не только шпионская активность, но и внедрение деструктивных элементов, включая смену паролей сотрудникам атакуемых компаний, что существенно осложняет восстановление контроля над инфраструктурой.
Начальный этап атаки реализуется через фишинговые письма с прикреплёнными документами, содержащими макросы. После активации макросов на компьютер жертвы загружается PowerRAT — троян на базе PowerShell, служащий каналом для передачи второго этапа вредоносной программы. В качестве полезной нагрузки используется изменённый агент Mythic — PowerTaskel или QwakMyAgent. Также в арсенале злоумышленников обнаружен вредоносный модуль IIS под названием Owowa, перехватывающий учётные данные Microsoft Outlook.
В последней зафиксированной цепочке заражения используется RAR-архив, в который вложен исполняемый файл с двойным расширением — например, «.pdf.exe» или «.doc.exe». Запуск файла имитирует открытие документа, скачивая ложный PDF или Word-файл с удалённого сервера, в то время как в фоновом режиме происходит внедрение бэкдора. Для маскировки применяются системные файлы Windows, такие как «explorer.exe», в код которых внедрён зашифрованный shellcode с агентом Mythic, немедленно подключающимся к C2-серверу.
В альтернативной версии атаки применяется документ Microsoft Office с макросом, выступающим в роли дроппера, который загружает и запускает PowerModul. Этот PowerShell-скрипт позволяет загружать и исполнять другие скрипты с управляющего сервера. Он используется с начала 2024 года и в ряде случаев применялся для внедрения PowerTaskel.
Среди дополнительных полезных нагрузок, распространяемых через PowerModul, выделяются:
Ранее GOFFEE применяла вредоносные документы Word с макросами VBA впервые, а в последнее время всё чаще отказывается от PowerTaskel в пользу бинарных агентов Mythic для перемещения внутри заражённых сетей.
Параллельно BI.ZONE сообщила об активности другой группировки — Sapphire Werewolf, которая распространяет обновлённую версию шпиона Amethyst. Он похищает учётные данные из Telegram, популярных браузеров (Chrome, Opera, Яндекс.Браузер и др.), а также файлы конфигурации SSH и FileZilla, включая документы с флешек. По мнению аналитиков, это может быть частью более широкой волны целевых атак на российский рынок.
Группировка Paper Werewolf, также известная под именем GOFFEE, развернула новый вредоносный инструмент под названием PowerModul для целенаправленных атак на российские организации. По информации «Лаборатории Касперского», активность была зафиксирована в период с июля по декабрь 2024 года и затронула структуры в сферах телекоммуникаций, строительства, массмедиа, энергетики и государственного управления.
По данным BI.ZONE, Paper Werewolf действует с 2022 года и провела не менее семи кампаний против организаций в различных секторах — от энергетики и финансов до СМИ. Отличительной чертой действий является не только шпионская активность, но и внедрение деструктивных элементов, включая смену паролей сотрудникам атакуемых компаний, что существенно осложняет восстановление контроля над инфраструктурой.
Начальный этап атаки реализуется через фишинговые письма с прикреплёнными документами, содержащими макросы. После активации макросов на компьютер жертвы загружается PowerRAT — троян на базе PowerShell, служащий каналом для передачи второго этапа вредоносной программы. В качестве полезной нагрузки используется изменённый агент Mythic — PowerTaskel или QwakMyAgent. Также в арсенале злоумышленников обнаружен вредоносный модуль IIS под названием Owowa, перехватывающий учётные данные Microsoft Outlook.
В последней зафиксированной цепочке заражения используется RAR-архив, в который вложен исполняемый файл с двойным расширением — например, «.pdf.exe» или «.doc.exe». Запуск файла имитирует открытие документа, скачивая ложный PDF или Word-файл с удалённого сервера, в то время как в фоновом режиме происходит внедрение бэкдора. Для маскировки применяются системные файлы Windows, такие как «explorer.exe», в код которых внедрён зашифрованный shellcode с агентом Mythic, немедленно подключающимся к C2-серверу.
В альтернативной версии атаки применяется документ Microsoft Office с макросом, выступающим в роли дроппера, который загружает и запускает PowerModul. Этот PowerShell-скрипт позволяет загружать и исполнять другие скрипты с управляющего сервера. Он используется с начала 2024 года и в ряде случаев применялся для внедрения PowerTaskel.
Среди дополнительных полезных нагрузок, распространяемых через PowerModul, выделяются:
- FlashFileGrabber — инструмент для кражи файлов с USB-носителей и отправки их на управляющий сервер.
- FlashFileGrabberOffline — модификация, которая ищет файлы с определёнными расширениями на подключённых флешках и копирует их в локальную папку.
- USB Worm — червь, способный заражать съёмные носители копией самого PowerModul.
Ранее GOFFEE применяла вредоносные документы Word с макросами VBA впервые, а в последнее время всё чаще отказывается от PowerTaskel в пользу бинарных агентов Mythic для перемещения внутри заражённых сетей.
Параллельно BI.ZONE сообщила об активности другой группировки — Sapphire Werewolf, которая распространяет обновлённую версию шпиона Amethyst. Он похищает учётные данные из Telegram, популярных браузеров (Chrome, Opera, Яндекс.Браузер и др.), а также файлы конфигурации SSH и FileZilla, включая документы с флешек. По мнению аналитиков, это может быть частью более широкой волны целевых атак на российский рынок.