Paper Werewolf 部署 PowerModul 植入了对俄罗斯部分行业进行有针对性的网络攻击

据 BI 称，Paper Werewolf，也称为 GOFFEE，据评估自 2022 年以来至少开展了七次活动。ZONE 的攻击主要针对政府、能源、金融、媒体和其他组织。






还观察到威胁行为者挂载的攻击链包含破坏性组件，其中入侵不仅仅是出于间谍目的分发恶意软件，还包括更改属于员工帐户的密码。

攻击本身是通过网络钓鱼电子邮件发起的，这些电子邮件包含带有宏的诱饵文档，在打开并启用宏时，该文档为部署基于 PowerShell 的远程访问木马（称为 PowerRAT）铺平了道路。


该恶意软件旨在提供下一阶段的有效载荷，通常是 Mythic 框架代理的自定义版本，称为 PowerTaskel 和 QwakMyAgent。威胁行为者武器库中的另一个工具是一个名为 Owowa 的恶意 IIS 模块，该模块用于检索用户在 Web 客户端上输入的 Microsoft Outlook 凭据。

卡巴斯基记录的最新一组攻击始于恶意 RAR 存档附件，其中包含一个可执行文件，该可执行文件使用双扩展名（即 *.pdf.exe 或 *.doc.exe）伪装成 PDF 或 Word 文档。当可执行文件启动时，诱饵文件从远程服务器下载并显示给用户，同时感染在后台进行到下一阶段。

“该文件本身是一个 Windows 系统文件（explorer.exe 或 xpsrchvw.exe），其部分代码使用恶意 shellcode 进行了修补，”它说。“shellcode 类似于我们在早期攻击中看到的，但此外还包含一个混淆的 Mythic 代理，它立即开始与命令和控制 （C2） 服务器通信。”

Paper Werewolf 部署 PowerModul 它的替代攻击序列要复杂得多，使用 RAR 存档嵌入 Microsoft Office 文档，并使用宏作为投放器来部署和启动 PowerModul，PowerModul 是一个能够从 C2 服务器接收和执行其他 PowerShell 脚本的 PowerShell 脚本。

据说该后门自 2024 年初以来一直被使用，威胁行为者最初使用它来下载和执行 PowerTaskel 在受感染的主机上。



下面列出了 PowerModul 丢弃的其他一些有效负载:

FlashFileGrabber，用于从可移动媒体（如闪存驱动器）中窃取文件，并将其泄露到 C2 服务器 到 FlashFileGrabberOffline，是FlashFileGrabber 的一种变体。


它在可移动媒体中搜索具有特定扩展名的文件，并在找到时将它们复制到“%TEMP%\CacheStore\connect\”文件夹中的本地磁盘USB 蠕虫，它能够用 PowerModul 的副本感染可移动媒体。


PowerTaskel 在功能上与 PowerModul 相似，因为它也被设计为运行 C2 服务器发送的 PowerShell 脚本。但除此之外，它还可以以 “checkin” 消息的形式发送有关目标环境的信息，以及执行从 C2 服务器接收的其他命令作为任务。

它还可以使用 PsExec 实用程序提升权限。


至少在一个实例中，已发现 PowerTaskel 接收带有 FolderFileGrabber 组件的脚本，该组件除了复制 FlashFileGrabber 的功能外，还包括通过使用 SMB 协议的硬编码网络路径从远程系统收集文件的能力。

“他们第一次使用带有恶意 VBA 脚本的 Word 文档进行初始感染，”卡巴斯基说。“最近，我们观察到 GOFFEE 越来越多地放弃使用 PowerTaskel，转而使用二进制 Mythic 代理进行横向移动。”

开发以 BI 的形式出现。


ZONE 将另一个名为 Sapphire Werewolf 的威胁组织归因于一个网络钓鱼活动，该活动分发了 Amethyst 的更新版本，Amethyst 是开源 SapphireStealer 的一个分支。

这家俄罗斯公司表示，窃取程序检索“来自 Telegram 和各种浏览器的凭据，包括 Chrome、Opera、Yandex、Brave、Orbitum、Atom、Kometa 和 Edge Chromium，以及 FileZilla 和 SSH 配置文件”，并补充说它还可以获取文档，包括存储在可移动媒体上的文档。