MOSKAU / MÜNCHEN (IT BOLTWISE) – Die Bedrohungsakteure, bekannt als Paper Werewolf, haben gezielt russische Organisationen mit einem neuen Implantat namens PowerModul angegriffen. Diese Aktivitäten, die zwischen Juli und Dezember 2024 stattfanden, richteten sich gegen Unternehmen in den Bereichen Massenmedien, Telekommunikation, Bauwesen, Regierungsbehörden und Energiesektor.
Die Bedrohungsakteure, die unter dem Namen Paper Werewolf bekannt sind, haben sich auf russische Organisationen spezialisiert und dabei ein neues Implantat namens PowerModul eingesetzt. Diese Angriffe, die zwischen Juli und Dezember 2024 stattfanden, zielten auf Unternehmen in den Bereichen Massenmedien, Telekommunikation, Bauwesen, Regierungsbehörden und Energiesektor ab. Laut einem neuen Bericht von Kaspersky wurden mindestens sieben Kampagnen seit 2022 durchgeführt, wobei die Angriffe hauptsächlich auf Regierungs-, Energie-, Finanz- und Medienorganisationen abzielten.
Die Angriffsketten von Paper Werewolf beinhalten auch eine störende Komponente, bei der die Eindringlinge nicht nur Malware zur Spionage verteilen, sondern auch Passwörter von Mitarbeiterkonten ändern. Die Angriffe beginnen mit Phishing-E-Mails, die ein Dokument mit Makros enthalten. Beim Öffnen und Aktivieren der Makros wird ein PowerShell-basierter Remote-Access-Trojaner namens PowerRAT bereitgestellt. Diese Malware ist darauf ausgelegt, eine nächste Nutzlast zu liefern, oft eine angepasste Version des Mythic-Framework-Agenten namens PowerTaskel und QwakMyAgent.
Ein weiteres Werkzeug im Arsenal der Bedrohungsakteure ist ein bösartiges IIS-Modul namens Owowa, das zum Abrufen von Microsoft Outlook-Anmeldedaten verwendet wird, die Benutzer im Webclient eingeben. Die neuesten Angriffe, die von Kaspersky dokumentiert wurden, beginnen mit einem bösartigen RAR-Archivanhang, der eine ausführbare Datei enthält, die sich als PDF- oder Word-Dokument tarnt. Beim Starten der ausführbaren Datei wird die Täuschungsdatei von einem Remote-Server heruntergeladen und dem Benutzer angezeigt, während die Infektion im Hintergrund fortschreitet.
Die Datei selbst ist eine Windows-Systemdatei (explorer.exe oder xpsrchvw.exe), deren Code mit einem bösartigen Shellcode gepatcht wurde. Der Shellcode ähnelt dem, was in früheren Angriffen beobachtet wurde, enthält jedoch zusätzlich einen obfuskierten Mythic-Agenten, der sofort mit dem Command-and-Control-Server kommuniziert. Die alternative Angriffssequenz ist weitaus aufwendiger und verwendet ein RAR-Archiv, das ein Microsoft-Office-Dokument mit einem Makro enthält, das als Dropper fungiert, um PowerModul zu starten.
PowerModul ist ein PowerShell-Skript, das in der Lage ist, zusätzliche PowerShell-Skripte vom C2-Server zu empfangen und auszuführen. Der Backdoor wird seit Anfang 2024 verwendet, wobei die Bedrohungsakteure ihn zunächst nutzten, um PowerTaskel auf kompromittierten Hosts herunterzuladen und auszuführen. Einige der anderen von PowerModul abgelegten Nutzlasten sind FlashFileGrabber, das zum Stehlen von Dateien von Wechseldatenträgern verwendet wird, und FlashFileGrabberOffline, eine Variante, die nach Dateien mit bestimmten Erweiterungen sucht.
PowerTaskel ist funktional ähnlich wie PowerModul, da es ebenfalls PowerShell-Skripte ausführt, die vom C2-Server gesendet werden. Darüber hinaus kann es Informationen über die Zielumgebung in Form einer “Checkin”-Nachricht senden und andere vom C2-Server empfangene Befehle als Aufgaben ausführen. Es ist auch in der Lage, Privilegien mit dem PsExec-Dienstprogramm zu eskalieren. In mindestens einem Fall wurde festgestellt, dass PowerTaskel ein Skript mit einer FolderFileGrabber-Komponente erhält, das neben den Funktionen von FlashFileGrabber auch die Fähigkeit umfasst, Dateien von entfernten Systemen über einen fest codierten Netzwerkpfad mithilfe des SMB-Protokolls zu sammeln.
Zum ersten Mal setzten sie Word-Dokumente mit bösartigen VBA-Skripten für die Erstinfektion ein. Kürzlich wurde beobachtet, dass GOFFEE zunehmend auf die Verwendung von PowerTaskel zugunsten des binären Mythic-Agenten bei der lateralen Bewegung verzichtet. Dies geschieht vor dem Hintergrund, dass BI.ZONE einer anderen Bedrohungsgruppe namens Sapphire Werewolf eine Phishing-Kampagne zuschreibt, die eine aktualisierte Version des Open-Source-Amethyst-Stealers verteilt.
☕︎ Unterstütze IT BOLTWISE® und trete unserem exklusiven KI-Club bei - für nur 1,99 Euro im Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Projektmanager / Product Owner Artificial Intelligence for Pricing (m/w/d)
Senior Solution Customer Success Manager (f/m/d) for SAP Business AI
KI / AI and Digital Workplace Trainer (m/w/d)
AI Kommunikation und Stakeholdermanagement Public Sector (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Paper Werewolf: Cyberangriffe auf russische Sektoren mit PowerModul" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Paper Werewolf: Cyberangriffe auf russische Sektoren mit PowerModul" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Paper Werewolf: Cyberangriffe auf russische Sektoren mit PowerModul« bei Google Deutschland suchen, bei Bing oder Google News!