По информации «Лаборатории Касперского», активность была зафиксирована в период с июля по декабрь 2024 года и затронула структуры в сферах телекоммуникаций, строительства, массмедиа, энергетики и государственного управления.
По данным BI.ZONE, Paper Werewolf действует с 2022 года и провела не менее семи кампаний против организаций в различных секторах — от энергетики и финансов до СМИ. Отличительной чертой действий является не только шпионская активность, но и внедрение деструктивных элементов, включая смену паролей сотрудникам атакуемых компаний, что существенно осложняет восстановление контроля над инфраструктурой, пишет Securitylab.
Начальный этап атаки реализуется через фишинговые письма с прикреплёнными документами, содержащими макросы. После активации макросов на компьютер жертвы загружается PowerRAT — троян на базе PowerShell, служащий каналом для передачи второго этапа вредоносной программы. В качестве полезной нагрузки используется изменённый агент Mythic — PowerTaskel или QwakMyAgent. Также в арсенале злоумышленников обнаружен вредоносный модуль IIS под названием Owowa, перехватывающий учётные данные Microsoft Outlook.
В последней зафиксированной цепочке заражения используется RAR-архив, в который вложен исполняемый файл с двойным расширением — например, «.pdf.exe» или «.doc.exe». Запуск файла имитирует открытие документа, скачивая ложный PDF или Word-файл с удалённого сервера, в то время как в фоновом режиме происходит внедрение бэкдора. Для маскировки применяются системные файлы Windows, такие как «explorer.exe», в код которых внедрён зашифрованный shellcode с агентом Mythic, немедленно подключающимся к C2-серверу.
В альтернативной версии атаки применяется документ Microsoft Office с макросом, выступающим в роли дроппера, который загружает и запускает PowerModul. Этот PowerShell-скрипт позволяет загружать и исполнять другие скрипты с управляющего сервера. Он используется с начала 2024 года и в ряде случаев применялся для внедрения PowerTaskel.
Среди дополнительных полезных нагрузок, распространяемых через PowerModul, выделяются:
PowerTaskel, кроме исполнения PowerShell-скриптов, отправляет информацию о системе в виде сообщения «checkin», запускает команды от C2-сервера и может повышать привилегии через PsExec. Также был зафиксирован сценарий, в котором PowerTaskel получал скрипт с компонентом FolderFileGrabber — аналогом FlashFileGrabber, способным дополнительно собирать данные с удалённых устройств по протоколу SMB через жёстко заданный сетевой путь.
Ранее GOFFEE применяла вредоносные документы Word с макросами VBA впервые, а в последнее время всё чаще отказывается от PowerTaskel в пользу бинарных агентов Mythic для перемещения внутри заражённых сетей.