Los activistas de la concurso en Bielorrusia, así como las organizaciones militares y gubernamentales ucranianas, son el objetivo de una nueva campaña que emplea documentos de Microsoft Excel con señuelos para entregar una nueva reforma de Picasoloader.
Se ha evaluado que el asociación de amenazas es una extensión de una campaña de larga duración montada por un actor de amenaza vinculado de Bielorrusia denominado escritor sombra (igualmente conocido como lunescape, TA445, UAC-0057 y UNC1151) desde 2016. Se sabe que se alinea con los intereses de seguridad rusos y promover narraciones críticas con la OTAN.
“La campaña ha estado en preparación desde julio-agosto de 2024 y ingresó a la etapa activa en noviembre de diciembre de 2024”, dijo el investigador de Sentinelone, Tom Hegel, en un referencia técnico compartido con Hacker News. “Las muestras de malware recientes y la actividad de infraestructura de comando y control (C2) indican que la operación permanece activa en los últimos días”.
El punto de partida de la sujeción de ataque analizado por la compañía de seguridad cibernética es un documento compartido de Google Drive que se originó en una cuenta llamamiento Vladimir Nikiforech y organizó un archivo RAR.
El archivo de rata incluye un obra de trabajo de Excel malvado que, cuando se abre, desencadena la ejecución de una macro ofuscada cuando las posibles víctimas permiten que se ejecute macros. La macro procede a escribir un archivo DLL que finalmente allane el camino para una lectura simplificada de PicasSoloader.
En la subsiguiente etapa, se muestra un archivo de Excel señuelo a la víctima, mientras que, en segundo plano, se descargan cargas bártulos adicionales en el sistema. Tan recientemente como junio de 2024, este enfoque se utilizó para entregar el situación de Cobalt Strike a posteriori de la explotación.
Sentinelone dijo que igualmente descubrió otros documentos de Excel armados con señuelos con temas de Ucrania para recuperar un malware desconocido de la segunda etapa de una URL remota (“Sciencealert (.) Shop”) en forma de una imagen JPG aparentemente inofensiva, una técnica conocida como esteganografía . Las URL ya no están disponibles.
En otro caso, el documento de Excel atrapado en Booby se utiliza para entregar una DLL llamamiento LibCMD, que está diseñada para ejecutar cmd.exe y conectarse a stdin/stdout. Se carga directamente en la memoria como un ensamblaje de .NET y se ejecuta.
“A lo extenso de 2024, Ghostwriter ha utilizado repetidamente una combinación de libros de trabajo de Excel que contienen macros VBA observadas por Macropack y eliminó los descargadores de .NET incrustados ofuscados con confusex”, dijo Hegel.
“Si aceptablemente Bielorrusia no participa activamente en campañas militares en la enfrentamiento en Ucrania, los actores de amenaza cibernética asociados con él parecen no tener reservas sobre la realización de operaciones de espionaje cibernético contra los objetivos ucranianos”.
