„PowerModul Implant“: tylus įsibrovėlis, iš naujo apibrėžiantis kibernetinį šnipinėjimą
Kibernetinė grėsmė, žinoma kaip PowerModul, kelia bangas kibernetinio saugumo srityje. Jame pristatomas sudėtingas nuotolinės prieigos prie sistemos metodas, kuris nuo 2024 m. pradžios tyliai nukreiptas į Rusijos organizacijas. Implantas, dalis platesnės kibernetinės kampanijos, priskirtos grupei, pavadintai „Popierinis vilkolakis“, žymi reikšmingą valstybės lygio skaitmeninio šnipinėjimo technikos raidą.
Table of Contents
Kas yra PowerModul?
PowerModul nėra tik dar viena kenkėjiška programa. Tai slaptos, PowerShell pagrindu sukurtos užpakalinės durys, leidžiančios užpuolikams vykdyti savavališkus scenarijus pažeistose sistemose, atverdamos duris plačiam duomenų vagystei ir sistemos manipuliavimui. Skirtingai nuo tradicinių šnipinėjimo programų, „PowerModul“ dizainas orientuotas į pritaikomumą ir atkaklumą, leidžiantį nuolat valdyti užkrėstą aplinką per centralizuotą komandų serverį.
Kur naudojamas PowerModul?
Remiantis kibernetinio saugumo ekspertų ataskaitomis, implantas buvo aktyviai naudojamas tikslinėms atakoms prieš subjektus keliuose svarbiausiuose sektoriuose, įskaitant žiniasklaidą, telekomunikacijas, vyriausybės administravimą, statybas ir energetiką. Šios atakos buvo vykdomos naudojant sumaniai paslėptus sukčiavimo el. laiškus, kuriuose dažnai buvo failų priedų, kurie atrodė kaip teisėti dokumentai. Atidarius ir įjungus makrokomandas, šie failai suaktyvina kelių etapų užkrėtimo procesą, kuris baigiasi PowerModul įdiegimu.
Kaip „PowerModul“ pasiekia savo aukas?
Užpuolikai pradeda savo kampaniją apgaulingu RAR archyvu. Viduje vykdomasis failas, užmaskuotas dvigubu plėtiniu (pvz., .pdf.exe), paleidžia apgaulės dokumentą, kad suklaidintų vartotoją ir tyliai inicijuotų kenkėjišką programą. Šis vykdomasis failas iš tikrųjų yra sugadintas „Windows“ sistemos failas, modifikuotas, kad būtų įtrauktas kenkėjiškas apvalkalo kodas, jungiantis prie nuotolinio komandų ir valdymo (C2) serverio. Ši technika padeda kenkėjiškajai programai apeiti tipinius antivirusinius aptikimus ir išlaikyti žemą profilį pradinėse infekcijos stadijose.
Įdiegus „PowerModul“, nuotoliniai operatoriai gali paleisti papildomus „PowerShell“ scenarijus užkrėstame pagrindiniame kompiuteryje. Jo galimybes sustiprina įrankių rinkinys, pritaikytas duomenų rinkimui ir šoniniam judėjimui tinkluose. Tarp šių įrankių yra „FlashFileGrabber“ , kuris ieško USB atmintinėse ir kitose keičiamosiose laikmenose saugomų failų ir perduoda juos atgal į C2 serverį. Variantas „FlashFileGrabberOffline “ atlieka panašias užduotis, bet saugo duomenis užkrėstame kompiuteryje, kad vėliau būtų galima juos atkurti.
Kitas komponentas, pavadintas USB Worm , platina infekciją, nukopijuodamas PowerModul implantą į prijungtus USB diskus. Tai leidžia kenkėjiškoms programoms perkelti atskiras sistemas, kurios nėra tiesiogiai prijungtos prie interneto; taktika, dažnai naudojama nukreipti į itin saugią aplinką.
Šios kampanijos grėsmės veikėjas, vadinamas Popieriniu vilkolakiu arba GOFFEE, nuo 2022 m. buvo susijęs su mažiausiai septyniomis atskiromis operacijomis. Analitikai teigia, kad grupės motyvai neapsiriboja informacijos rinkimu. Per kelis incidentus jie įgyvendino trikdančius veiksmus, pvz., pakeitė vartotojų slaptažodžius, kad trukdytų organizacinei veiklai ir prieigai, užsimindami apie platesnį strateginį tikslą.
Kiti santykiai
„PowerModul“ taip pat dalijasi bruožais su kitu įrankiu, kurį naudoja grupė „PowerTaskel“ . Nors abu implantai leidžia nuotoliniu būdu vykdyti „PowerShell“ komandas, „PowerTaskel“ apima papildomas funkcijas, pvz., privilegijų padidinimą ir aplinkos nuskaitymą, ir buvo naudojamas agresyvesnėse atakos fazėse. Pažymėtina, kad analitikai pastebėjo pastarojo meto veiklos pokytį, kai „PowerModul“ vis dažniau keičia „PowerTaskel“ operaciniam naudojimui – galbūt dėl slaptesnio profilio ir lanksčios architektūros.
Šios plėtros pasekmės yra didelės. Pirma, tai demonstruoja puolamųjų kibernetinių galimybių brendimą, ypač diegiant modulinę, be failų kenkėjišką programinę įrangą, kurią sunkiau aptikti ir analizuoti. Antra, pabrėžiamas nuolatinis organizacijų pažeidžiamumas dėl gerai parengtų sukčiavimo atakų, kurios išlieka pagrindiniu pradinio kompromiso metodu.
Apatinė eilutė
Galbūt svarbiausia, kad PowerModul kampanijoje pabrėžiama, kaip kibernetinės operacijos vystosi ne tik šnipinėjimu, bet ir apima sutrikdymo ir sabotažo komponentus. Ši dvejopo tikslo strategija siūlo gilesnę kibernetinių priemonių integraciją į geopolitinį manevravimą, kai skaitmeniniai įsiveržimai yra ir informacijos rinkimo, ir įtakos operacijos.
Nors atakos iki šiol buvo nukreiptos prieš Rusijos subjektus, greičiausiai naudojamos priemonės ir būdai plis. PowerModul elgesio supratimas ir jo žymenų nustatymas yra esminiai žingsniai ruošiant gynybą nuo panašių grėsmių kituose regionuose ir sektoriuose.
Kibernetinio saugumo specialistams ir organizacijų vadovams „PowerModul“ atsiradimas yra aiškus signalas iš naujo įvertinti dabartines saugos strategijas, ypač el. pašto saugos, makrokomandos apsaugos politikos ir galinių taškų stebėjimo srityse. Tobulėjant kibernetiniams įrankiams, taip pat turi būti sukurtos juos aptikti ir atgrasyti sistemos.
