O agente de ameaça conhecido como Paper Werewolf tem sido observado mirando exclusivamente em entidades russas com um novo implant chamado PowerModul.
A atividade, que ocorreu entre julho e dezembro de 2024, selecionou organizações nos setores de mídia de massa, telecomunicações, construção, entidades governamentais e energia, disse a Kaspersky em um novo relatório publicado na quinta-feira.
Paper Werewolf, também conhecido como GOFFEE, é avaliado por ter conduzido pelo menos sete campanhas desde 2022, segundo a BI.ZONE, com os ataques mirando principalmente em organizações governamentais, de energia, financeiras, de mídia e outras.
As cadeias de ataque montadas pelo agente de ameaça também foram observadas incorporando um componente disruptivo, onde as intrusões vão além da distribuição de malware para fins de espionagem para também alterar senhas pertencentes a contas de funcionários.
Os próprios ataques são iniciados via emails de phishing que contêm um documento isca com macros, que, ao ser aberto e habilitado, abre caminho para a implantação de um trojan de acesso remoto baseado em PowerShell conhecido como PowerRAT.
O malware é projetado para entregar um payload de próxima etapa, muitas vezes uma versão personalizada do agente do framework Mythic conhecida como PowerTaskel e QwakMyAgent.
Outra ferramenta no arsenal do agente de ameaça é um módulo malicioso IIS chamado Owowa, que é usado para recuperar credenciais do Microsoft Outlook inseridas pelos usuários no cliente web.
O último conjunto de ataques documentado pela Kaspersky começa com um anexo de arquivo RAR malicioso contendo um executável que se passa por um documento PDF ou Word usando uma dupla extensão (ou seja, *.pdf.exe ou *.doc.exe).
Quando o executável é iniciado, o arquivo de isca é baixado de um servidor remoto e mostrado ao usuário, enquanto a infecção segue para a próxima etapa em segundo plano.
"O arquivo em si é um arquivo de sistema do Windows (explorer.exe ou xpsrchvw.exe), com parte de seu código corrompido com um shellcode malicioso," disse ele.
O shellcode é semelhante ao que vimos em ataques anteriores, mas além disso contém um agente Mythic ofuscado, que imediatamente começa a se comunicar com o servidor de comando e controle (C2).
A sequência alternativa de ataque é muito mais elaborada, usando um arquivo RAR que incorpora um documento do Microsoft Office com uma macro que age como um dropper para implantar e iniciar o PowerModul, um script PowerShell capaz de receber e executar scripts adicionais de PowerShell do servidor C2.
Diz-se que o backdoor vem sendo usado desde o início de 2024, com os agentes de ameaça inicialmente utilizando-o para baixar e executar PowerTaskel em hosts comprometidos.
Alguns dos outros payloads soltados pelo PowerModul estão listados abaixo:
-FlashFileGrabber, que é usado para roubar arquivos de mídias removíveis, como drives flash, e exfiltrá-los para o servidor C2;
-FlashFileGrabberOffline, uma variante do FlashFileGrabber que busca por arquivos com extensões específicas em mídias removíveis e, quando encontrados, os copia para o disco local na pasta "%TEMP%\CacheStore\connect\";
-USB Worm, que é capaz de infectar mídias removíveis com uma cópia do PowerModul.
O PowerTaskel é funcionalmente similar ao PowerModul, no sentido de que também é projetado para executar scripts PowerShell enviados pelo servidor C2.
Mas além disso, pode enviar informações sobre o ambiente alvo na forma de uma mensagem de "checkin", assim como executar outros comandos recebidos do servidor C2 como tarefas.
Também está equipado para escalar privilégios usando a utilidade PsExec.
Em pelo menos uma instância, descobriu-se que PowerTaskel recebeu um script com um componente FolderFileGrabber que, além de replicar os recursos do FlashFileGrabber, inclui a capacidade de coletar arquivos de sistemas remotos via um caminho de rede codificado usando o protocolo SMB.
"Pela primeira vez, eles empregaram documentos Word com scripts maliciosos VBA para infecção inicial," disse a Kaspersky.
Recentemente, observamos que GOFFEE está abandonando cada vez mais o uso de PowerTaskel em favor do agente Mythic binário durante o movimento lateral.
O desenvolvimento vem como BI.ZONE atribuiu outro grupo de ameaça chamado Sapphire Werewolf a uma campanha de phishing que distribui uma versão atualizada do Amethyst, um descendente do open-source SapphireStealer.
O stealer recupera "credenciais do Telegram e vários navegadores, incluindo Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa e Edge Chromium, bem como arquivos de configuração do FileZilla e SSH," disse a empresa russa, acrescentando que também pode pegar documentos, incluindo aqueles armazenados em mídias removíveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...