Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
https://www.secnews.gr/646176/hackers-paper-werewolf-stoxeuoun-rosia-powermodul/
Apr 14th 2025, 11:08
by Digital Fortress
Οι hackers Paper Werewolf φέρεται να στοχεύουν ρωσικές οντότητες με ένα νέο implant που ονομάζεται PowerModul.
Σύμφωνα με μια νέα έκθεση της Kaspersky, η κακόβουλη δραστηριότητα έλαβε χώρα μεταξύ Ιουλίου και Δεκεμβρίου 2024 και στόχευσε κυρίως οργανισμούς στους τομείς των μέσων μαζικής ενημέρωσης, των τηλεπικοινωνιών, των κατασκευών και της ενέργειας, ενώ στο στόχαστρο βρέθηκαν και κυβερνητικοί φορείς.
Οι hackers Paper Werewolf, γνωστοί και ως GOFFEE, έχουν πραγματοποιήσει τουλάχιστον επτά εκστρατείες από το 2022, σύμφωνα με το BI.ZONE, με τις επιθέσεις να στοχεύουν κυρίως κυβερνητικούς, ενεργειακούς και οικονομικούς οργανισμούς και ΜΜΕ.
Πώς λειτουργούν οι επιθέσεις της ομάδας Paper Werewolf;
Σύμφωνα με τους ερευνητές, οι επιθέσεις της ομάδας στοχεύουν στη διανομή κακόβουλου λογισμικού για σκοπούς κατασκοπείας, αλλά αλλάζουν επίσης τους κωδικούς πρόσβασης που ανήκουν σε λογαριασμούς εργαζομένων.
Δείτε επίσης: Hackers διανέμουν το ViperSoftX malware μέσω cracked software
Οι ίδιες οι επιθέσεις ξεκινούν μέσω phishing emails, που περιέχουν ένα έγγραφο δόλωμα με μακροεντολές. Αν το θύμα ανοίξει το έγγραφο και ενεργοποιήσει τις μακροεντολές, ανοίγει το δρόμο για την ανάπτυξη ενός trojan απομακρυσμένης πρόσβασης που ονομάζεται PowerRAT.
Το κακόβουλο λογισμικό έχει σχεδιαστεί για να παρέχει ένα payload επόμενου σταδίου, συχνά μια προσαρμοσμένη έκδοση του Mythic framework agent, που είναι γνωστή ως PowerTaskel και QwakMyAgent. Ένα άλλο εργαλείο που χρησιμοποιείται, επίσης, είναι ένα κακόβουλο IIS module, που ονομάζεται Owowa, το οποίο βοηθά στην ανάκτηση Microsoft Outlook credentials που έχουν εισαχθεί από χρήστες στο web client.
Στις πιο πρόσφατες επιθέσεις, που παρατήρησε η Kaspersky, οι hackers Paper Werewolf ξεκινούν με ένα κακόβουλο συνημμένο RAR archive που περιέχει ένα εκτελέσιμο αρχείο. Αυτό μεταμφιέζεται σε έγγραφο PDF ή Word χρησιμοποιώντας μια διπλή επέκταση (π.χ. *.pdf.exe ή *.doc.exe). Κατά την εκκίνηση του εκτελέσιμου αρχείου, γίνεται λήψη του αρχείου-δολώματος από έναν απομακρυσμένο διακομιστή και εμφανίζεται στον χρήστη. Ταυτόχρονα, η μόλυνση προχωρά στο επόμενο στάδιο (στο παρασκήνιο).
Το ίδιο το αρχείο είναι ένα Windows system file (explorer.exe ή xpsrchvw.exe), με μέρος του κώδικά του να περιέχει κακόβουλο shellcode. Το shellcode είναι παρόμοιο με αυτό προηγούμενων επιθέσεων, αλλά επιπλέον περιέχει έναν obfuscated Mythic agent, ο οποίος αρχίζει αμέσως να επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2).
Δείτε επίσης: Οι αρχές συνέλαβαν πελάτες του Smokeloader malware
Η εναλλακτική ακολουθία επίθεσης είναι πολύ πιο περίπλοκη, χρησιμοποιώντας ένα αρχείο RAR που ενσωματώνει ένα έγγραφο του Microsoft Office με μια μακροεντολή. Αυτή λειτουργεί ως dropper για την ανάπτυξη και την εκκίνηση του PowerModul, ενός PowerShell script που λαμβάνει και εκτελεί πρόσθετα PowerShell scripts από τον διακομιστή C2.
Λέγεται ότι το backdoor χρησιμοποιείται από τις αρχές του 2024, με τους φορείς απειλών να το χρησιμοποιούν αρχικά για να κατεβάσουν και να εκτελέσουν το PowerTaskel σε παραβιασμένους κεντρικούς υπολογιστές. Μερικά από τα άλλα payloads που εγκαταστάθηκαν μέσω του PowerModul είναι τα: FlashFileGrabber, FlashFileGrabberOffline, USB Worm.
Το PowerTaskel είναι λειτουργικά παρόμοιο με το PowerModul καθώς επίσης εκτελεί PowerShell scripts που αποστέλλονται από τον διακομιστή C2. Αλλά επιπλέον, μπορεί να στείλει πληροφορίες σχετικά με το στοχευμένο περιβάλλον με τη μορφή μηνύματος "checkin", καθώς και να εκτελέσει άλλες εντολές που λαμβάνονται από τον διακομιστή C2 ως tasks. Είναι επίσης εξοπλισμένο για να αυξάνει τα προνόμια χρησιμοποιώντας το βοηθητικό πρόγραμμα PsExec.
Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
Προστασία από malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
https://www.secnews.gr/646176/hackers-paper-werewolf-stoxeuoun-rosia-powermodul/
Apr 14th 2025, 11:08
by Digital Fortress
Οι hackers Paper Werewolf φέρεται να στοχεύουν ρωσικές οντότητες με ένα νέο implant που ονομάζεται PowerModul.
Σύμφωνα με μια νέα έκθεση της Kaspersky, η κακόβουλη δραστηριότητα έλαβε χώρα μεταξύ Ιουλίου και Δεκεμβρίου 2024 και στόχευσε κυρίως οργανισμούς στους τομείς των μέσων μαζικής ενημέρωσης, των τηλεπικοινωνιών, των κατασκευών και της ενέργειας, ενώ στο στόχαστρο βρέθηκαν και κυβερνητικοί φορείς.
Οι hackers Paper Werewolf, γνωστοί και ως GOFFEE, έχουν πραγματοποιήσει τουλάχιστον επτά εκστρατείες από το 2022, σύμφωνα με το BI.ZONE, με τις επιθέσεις να στοχεύουν κυρίως κυβερνητικούς, ενεργειακούς και οικονομικούς οργανισμούς και ΜΜΕ.
Πώς λειτουργούν οι επιθέσεις της ομάδας Paper Werewolf;
Σύμφωνα με τους ερευνητές, οι επιθέσεις της ομάδας στοχεύουν στη διανομή κακόβουλου λογισμικού για σκοπούς κατασκοπείας, αλλά αλλάζουν επίσης τους κωδικούς πρόσβασης που ανήκουν σε λογαριασμούς εργαζομένων.
Δείτε επίσης: Hackers διανέμουν το ViperSoftX malware μέσω cracked software
Οι ίδιες οι επιθέσεις ξεκινούν μέσω phishing emails, που περιέχουν ένα έγγραφο δόλωμα με μακροεντολές. Αν το θύμα ανοίξει το έγγραφο και ενεργοποιήσει τις μακροεντολές, ανοίγει το δρόμο για την ανάπτυξη ενός trojan απομακρυσμένης πρόσβασης που ονομάζεται PowerRAT.
Το κακόβουλο λογισμικό έχει σχεδιαστεί για να παρέχει ένα payload επόμενου σταδίου, συχνά μια προσαρμοσμένη έκδοση του Mythic framework agent, που είναι γνωστή ως PowerTaskel και QwakMyAgent. Ένα άλλο εργαλείο που χρησιμοποιείται, επίσης, είναι ένα κακόβουλο IIS module, που ονομάζεται Owowa, το οποίο βοηθά στην ανάκτηση Microsoft Outlook credentials που έχουν εισαχθεί από χρήστες στο web client.
Στις πιο πρόσφατες επιθέσεις, που παρατήρησε η Kaspersky, οι hackers Paper Werewolf ξεκινούν με ένα κακόβουλο συνημμένο RAR archive που περιέχει ένα εκτελέσιμο αρχείο. Αυτό μεταμφιέζεται σε έγγραφο PDF ή Word χρησιμοποιώντας μια διπλή επέκταση (π.χ. *.pdf.exe ή *.doc.exe). Κατά την εκκίνηση του εκτελέσιμου αρχείου, γίνεται λήψη του αρχείου-δολώματος από έναν απομακρυσμένο διακομιστή και εμφανίζεται στον χρήστη. Ταυτόχρονα, η μόλυνση προχωρά στο επόμενο στάδιο (στο παρασκήνιο).
Το ίδιο το αρχείο είναι ένα Windows system file (explorer.exe ή xpsrchvw.exe), με μέρος του κώδικά του να περιέχει κακόβουλο shellcode. Το shellcode είναι παρόμοιο με αυτό προηγούμενων επιθέσεων, αλλά επιπλέον περιέχει έναν obfuscated Mythic agent, ο οποίος αρχίζει αμέσως να επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2).
Δείτε επίσης: Οι αρχές συνέλαβαν πελάτες του Smokeloader malware
Η εναλλακτική ακολουθία επίθεσης είναι πολύ πιο περίπλοκη, χρησιμοποιώντας ένα αρχείο RAR που ενσωματώνει ένα έγγραφο του Microsoft Office με μια μακροεντολή. Αυτή λειτουργεί ως dropper για την ανάπτυξη και την εκκίνηση του PowerModul, ενός PowerShell script που λαμβάνει και εκτελεί πρόσθετα PowerShell scripts από τον διακομιστή C2.
Λέγεται ότι το backdoor χρησιμοποιείται από τις αρχές του 2024, με τους φορείς απειλών να το χρησιμοποιούν αρχικά για να κατεβάσουν και να εκτελέσουν το PowerTaskel σε παραβιασμένους κεντρικούς υπολογιστές. Μερικά από τα άλλα payloads που εγκαταστάθηκαν μέσω του PowerModul είναι τα: FlashFileGrabber, FlashFileGrabberOffline, USB Worm.
Το PowerTaskel είναι λειτουργικά παρόμοιο με το PowerModul καθώς επίσης εκτελεί PowerShell scripts που αποστέλλονται από τον διακομιστή C2. Αλλά επιπλέον, μπορεί να στείλει πληροφορίες σχετικά με το στοχευμένο περιβάλλον με τη μορφή μηνύματος "checkin", καθώς και να εκτελέσει άλλες εντολές που λαμβάνονται από τον διακομιστή C2 ως tasks. Είναι επίσης εξοπλισμένο για να αυξάνει τα προνόμια χρησιμοποιώντας το βοηθητικό πρόγραμμα PsExec.
Οι hackers Paper Werewolf στοχεύουν τη Ρωσία με το PowerModul
Προστασία από malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια