Исследователи в области кибербезопасности раскрыли подробности о новой угрозе под названием Sticky Werewolf, связанной с кибератаками на объекты в России и Беларуси.
Фишинговые атаки были нацелены на фармацевтическую компанию, российский исследовательский институт, занимающийся микробиологией и разработкой вакцин, а также авиационный сектор, что выходит за рамки их первоначальной ориентации на правительственные организации, сообщается в отчете Morphisec на прошлой неделе.
«В предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io,» — прокоментровал исследователь безопасности Арнольд Осипов.
«В последней кампании использовались архивные файлы, содержащие LNK-файлы, указывающие на полезную нагрузку, хранящуюся на серверах WebDAV.»
Арнольд Осипов
Sticky Werewolf, одна из многих хакерских групп, нацеленных на Россию и Беларусь, таких как Cloud Werewolf (также известный как Inception и Cloud Atlas), Quartz Wolf, Red Wolf (также известный как RedCurl) и Scaly Wolf, был впервые задокументирован BI.ZONE в октябре 2023 года. Предполагается, что группа активна с апреля 2023 года.
Исследование VPNРоссия выявило, что ранее зафиксированные атаки включали фишинговые письма с ссылками на вредоносные файлы, которые приводили к развертыванию удаленного доступа Trojan (RAT) под названием NetWire. Эта инфраструктура была отключена в начале прошлого года после операции правоохранительных органов.
Новая цепочка атак, наблюдаемая Morphisec, включает использование RAR-архива, который при извлечении содержит два LNK-файла и поддельный PDF-документ. Последний представляет собой приглашение на видеоконференцию и призывает получателей щелкнуть на LNK-файлы, чтобы получить повестку дня встречи и список рассылки.
Открытие любого из LNK-файлов запускает выполнение бинарного файла, размещенного на сервере WebDAV, что приводит к запуску замаскированного сценария Windows batch. Этот сценарий, в свою очередь, предназначен для выполнения скрипта AutoIt, который в конечном итоге инъектирует финальную полезную нагрузку, одновременно обходя средства безопасности и попытки анализа.
«Этот исполняемый файл является самораспаковывающимся архивом NSIS, который является частью ранее известного криптера CypherIT,» — сказал Осипов. «Хотя оригинальный криптер CypherIT больше не продается, текущий исполняемый файл является его вариантом, как это наблюдалось на нескольких хакерских форумах.»
Цель кампании — доставка стандартных RAT и вредоносного ПО, такого как Rhadamanthys и Ozone RAT.
Хотя нет окончательных доказательств, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст предполагает возможные связи с проукраинской кибершпионской группой или хактивистами, но эта атрибуция остается неопределенной, отметил Осипов.
Эти события происходят на фоне того, что BI.ZONE выявила кластер активности под кодовым названием Sapphire Werewolf, который причастен к более чем 300 атакам на российские образовательные, производственные, ИТ, оборонные и аэрокосмические секторы с использованием Amethyst, ответвления популярного открытого кода SapphireStealer.
В марте 2024 года российская компания также выявила кластеры, известные как Fluffy Wolf и Mysterious Werewolf, которые использовали spear-phishing для распространения Remote Utilities, майнера XMRig, WarZone RAT и уникального заднего хода под названием RingSpy.
«Задний ход RingSpy позволяет противнику удаленно выполнять команды, получать их результаты и загружать файлы из сетевых ресурсов,» — отмечается в отчете. «Сервер командного управления заднего хода — бот Telegram.»
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.