Los activistas de la oposición en Bielorrusia, así como las organizaciones militares y gubernamentales ucranianas, son el objetivo de una nueva campaña que emplea documentos de Microsoft Excel con señuelos para entregar una nueva variante de Picasoloader.
Se ha evaluado que el grupo de amenazas es una extensión de una campaña de larga duración montada por un actor de amenaza alineado de Bielorrusia denominado escritor fantasma (también conocido como lunescape, TA445, UAC-0057 y UNC1151) desde 2016. Se sabe que se alinea con los intereses de seguridad rusos y promover narraciones críticas con la OTAN.
«La campaña ha estado en preparación desde julio-agosto de 2024 y ingresó a la fase activa en noviembre de diciembre de 2024», dijo el investigador de Sentinelone, Tom Hegel, en un informe técnico compartido con Hacker News. «Las muestras de malware recientes y la actividad de infraestructura de comando y control (C2) indican que la operación permanece activa en los últimos días».
El punto de partida de la cadena de ataque analizado por la compañía de seguridad cibernética es un documento compartido de Google Drive que se originó en una cuenta llamada Vladimir Nikiforech y organizó un archivo RAR.
El archivo de rata incluye un libro de trabajo de Excel malicioso que, cuando se abre, desencadena la ejecución de una macro ofuscada cuando las posibles víctimas permiten que se ejecute macros. La macro procede a escribir un archivo DLL que finalmente allane el camino para una versión simplificada de PicasSoloader.
En la siguiente fase, se muestra un archivo de Excel señuelo a la víctima, mientras que, en segundo plano, se descargan cargas útiles adicionales en el sistema. Tan recientemente como junio de 2024, este enfoque se utilizó para entregar el marco de Cobalt Strike después de la explotación.
Sentinelone dijo que también descubrió otros documentos de Excel armados con señuelos con temas de Ucrania para recuperar un malware desconocido de la segunda etapa de una URL remota («Sciencealert (.) Shop») en forma de una imagen JPG aparentemente inofensiva, una técnica conocida como esteganografía . Las URL ya no están disponibles.
En otro caso, el documento de Excel atrapado en Booby se utiliza para entregar una DLL llamada LibCMD, que está diseñada para ejecutar cmd.exe y conectarse a stdin/stdout. Se carga directamente en la memoria como un ensamblaje de .NET y se ejecuta.
«A lo largo de 2024, Ghostwriter ha utilizado repetidamente una combinación de libros de trabajo de Excel que contienen macros VBA observadas por Macropack y eliminó los descargadores de .NET incrustados ofuscados con confusex», dijo Hegel.
«Si bien Bielorrusia no participa activamente en campañas militares en la guerra en Ucrania, los actores de amenaza cibernética asociados con él parecen no tener reservas sobre la realización de operaciones de espionaje cibernético contra los objetivos ucranianos».
