Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Implant PowerModul

Implant PowerModul

Par Mezo en Logiciels malveillants, Portes dérobées
Se traduisent par :
Français

L'acteur malveillant connu sous le nom de Paper Werewolf, également connu sous le nom de GOFFEE, cible exclusivement les organisations russes à l'aide d'un nouvel implant appelé PowerModul. Entre juillet et décembre 2024, ses attaques ont ciblé des secteurs clés, notamment les médias, les télécommunications, la construction, les organismes gouvernementaux et le secteur de l'énergie.

Un adversaire persistant : campagnes depuis 2022

The Paper Werewolf a mené au moins sept campagnes depuis 2022. Le groupe s'est constamment concentré sur des cibles de grande valeur au sein des secteurs gouvernemental, énergétique, financier et médiatique.

Plus que de l’espionnage : des rebondissements destructeurs dans les chaînes d’attaque

Les opérations de Paper Werewolf vont au-delà du cyberespionnage traditionnel. Leurs chaînes d'attaque ont été observées avec des éléments perturbateurs, comme la modification des mots de passe des comptes des employés, témoignant d'une volonté de paralyser les opérations et non pas seulement de voler des données.

Point d’entrée : leurres de phishing et PowerRAT

Les attaques commencent généralement par des e-mails de phishing contenant des documents contenant des macros. Une fois que la victime accède au fichier et active les macros, un cheval de Troie d'accès à distance basé sur PowerShell, appelé PowerRAT , est déployé. Ce malware ouvre la voie à des charges utiles plus avancées.

Arsenal de logiciels malveillants personnalisés : PowerTaskel, QwakMyAgent et Owowa

Les charges utiles de l'étape suivante incluent souvent PowerTaskel et QwakMyAgent, des versions personnalisées d'agents basées sur le framework Mythic. Un autre outil, Owowa, un module IIS malveillant, est utilisé pour voler les identifiants Microsoft Outlook saisis via des clients web.

Nouvelle tactique d’infection : fichiers exécutables déguisés dans les archives RAR

La dernière vague d'attaques utilise une archive RAR malveillante contenant un exécutable déguisé en document PDF ou Word avec une double extension (par exemple, *.pdf.exe). Lors de l'exécution, un faux document est présenté à l'utilisateur, tandis que le système est infecté silencieusement en arrière-plan.

L'exécutable est en fait un fichier système Windows corrigé (comme explorer.exe), intégré avec un shellcode malveillant contenant un agent Mythic obscurci, qui se connecte au serveur C2 pour obtenir des instructions supplémentaires.

Route d’attaque alternative : PowerModul occupe le devant de la scène

Dans une autre méthode, Paper Werewolf utilise une archive RAR contenant un document Office contenant des macros, qui agit comme un dropper pour PowerModul. Ce script PowerShell peut exécuter des scripts supplémentaires depuis le serveur C2, ce qui en fait une porte dérobée polyvalente.

Défilé de charges utiles : une boîte à outils pour l’espionnage et l’infection

PowerModul est utilisé depuis début 2024, principalement pour télécharger et exécuter PowerTaskel. Parmi les autres charges utiles notables, on peut citer :

  • FlashFileGrabber : vole des fichiers à partir de clés USB et les exfiltre.
  • FlashFileGrabberOffline : recherche des fichiers avec des extensions spécifiques sur un support Flash et les stocke localement pour une exfiltration ultérieure.
  • Ver USB : infecte les clés USB avec une copie de PowerModul pour propager davantage le malware.

Les capacités de PowerTaskel : bien plus que la simple exécution de scripts

Bien que similaire à PowerModul, PowerTaskel est plus performant. Il envoie un message d'enregistrement avec les informations système, exécute des commandes depuis le serveur C2 et peut élever les privilèges via PsExec. Dans un cas, il a été observé exécutant un script FolderFileGrabber qui collecte des fichiers depuis des systèmes distants via des chemins réseau SMB codés en dur.

Évolution des tactiques : s’éloigner de PowerTaskel

Pour la première fois, Paper Werewolf a utilisé des documents Word frauduleux avec des scripts VBA pour un accès initial. Des découvertes récentes indiquent également un changement de stratégie : le groupe abandonne PowerTaskel et s'appuie de plus en plus sur des agents binaires Mythic pour ses déplacements latéraux au sein des réseaux ciblés.

Réflexions finales : une menace croissante avec des techniques en évolution

Paper Werewolf continue d'affiner ses techniques et d'élargir son arsenal. Sa concentration exclusive sur les entités russes, combinée à des capacités de perturbation et à une stratégie d'infection évolutive, en fait une cybermenace sérieuse et persistante à l'horizon.

Tendance

Arnaque par e-mail concernant le largage aérien USDT...

Hameçonnage, Courrier indésirable
Avec l'essor des cryptomonnaies, les fraudeurs ont développé des tactiques de plus en plus trompeuses pour inciter les utilisateurs à céder leurs actifs numériques. L'escroquerie par e-mail VoxFlowG USDT Airdrop est l'une de ces arnaques. Elle cible des individus peu méfiants en leur promettant des Tether (USDT) gratuits. Cette tactique vise à collecter des fonds sur les portefeuilles de...

Courriel frauduleux Chase : le transfert est en...

Hameçonnage, Courrier indésirable
Internet offre de nombreuses opportunités et commodités, mais il est aussi un terrain fertile pour les cybermenaces. Les fraudeurs inventent sans cesse de nouvelles méthodes pour tromper les utilisateurs, voler des données sensibles et exploiter les comptes financiers. L'arnaque par courriel « Chase – Le transfert est en cours de traitement et sera déduit » est l'une de ces arnaques. Elle cible...

Le plus regardé

Chargement...