Belarus’taki muhalefet aktivistleri, Ukrayna askeri ve hükümet kuruluşları, yeni bir Picassoloader varyantı sunmak için kötü amaçlı Microsoft Excel belgelerini lurs olarak kullanan yeni bir kampanyanın hedefidir.
Tehdit kümesinin, 2016’dan bu yana Belarus’a hizalanmış bir tehdit aktörü (AKA Moiscape, TA445, UAC-0057 ve UNC1151) tarafından monte edilen uzun süredir devam eden bir kampanyanın bir uzantısı olduğu değerlendirildi. Bu bilinen Rus güvenlik çıkarları ile uyumlu ve NATO eleştirel anlatıları teşvik etmek.
Sentinelone araştırmacısı Tom Hegel, “Kampanya Temmuz-Ağustos 2024’ten beri hazırlık yapıyor ve Kasım-Aralık 2024’te aktif aşamaya girdi.” söz konusu Hacker News ile paylaşılan bir teknik raporda. “Son kötü amaçlı yazılım örnekleri ve komut ve kontrol (C2) altyapı etkinliği, işlemin son günlerde aktif kaldığını göstermektedir.”
Siber güvenlik şirketi tarafından analiz edilen saldırı zincirinin başlangıç noktası, Vladimir Nikiforech adlı bir hesaptan kaynaklanan ve bir RAR arşivine ev sahipliği yapan bir Google Drive paylaşılan belgedir.
Sıçan dosyası, açıldığında, aday kurbanlar makroların çalıştırılmasını sağladığında, şaşkın bir makro’nun yürütülmesini tetikleyen kötü niyetli bir Excel çalışma kitabı içerir. Makro, sonuçta Picassoloader’ın basitleştirilmiş bir sürümünün yolunu açan bir DLL dosyası yazmaya devam ediyor.
Bir sonraki aşamada, kurbana bir tuzak excel dosyası görüntülenirken, arka planda sisteme ek yükler indirilir. Haziran 2024 kadar yakın bir zamanda, bu yaklaşım, sömürü sonrası çerçeve kobalt grevini sunmak için kullanıldı.
Sentinelone, Ukrayna temalı yemleri taşıyan diğer silahlandırılmış Excel belgelerini, bilinmeyen bir ikinci aşamalı kötü amaçlı yazılımları uzak bir URL’den almak için keşfettiğini söyledi (“Sciencealert[.]Alışveriş “) görünüşte zararsız bir JPG görüntüsü, steganografi olarak bilinen bir teknik şeklinde. URL’ler artık mevcut değil.
Başka bir durumda, Booby Tapınık Excel belgesi, cmd.exe çalıştırmak ve stdin/stdout’a bağlanmak üzere tasarlanmış LIBCMD adlı bir DLL sunmak için kullanılır. Doğrudan bir .NET düzeneği olarak belleğe yüklenir ve yürütülür.
“2024 boyunca Ghostwriter, Macropack ile takviyeli VBA makrolarını içeren Excel çalışma kitaplarının bir kombinasyonunu defalarca kullandı ve gömülü .NET indiricileri ile şaşkına döndü. Confuserex“Dedi Hegel.
Diyerek şöyle devam etti: “Belarus Ukrayna’daki savaştaki askeri kampanyalara aktif olarak katılmasa da, onunla ilişkili siber tehdit aktörlerinin Ukrayna hedeflerine karşı siber casusluk operasyonları yürütme konusunda hiçbir rezervasyonu yok gibi görünüyor.”
