Sticky Werewolf расширяет мишени кибератак в России и Беларуси

Исследователи в области кибербезопасности раскрыли подробности о новой угрозе под названием Sticky Werewolf, связанной с кибератаками на объекты в России и Беларуси.

Фишинговые атаки были нацелены на фармацевтическую компанию, российский исследовательский институт, занимающийся микробиологией и разработкой вакцин, а также авиационный сектор, что выходит за рамки их первоначальной ориентации на правительственные организации, сообщается в отчете Morphisec на прошлой неделе.

«В предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io,» — прокоментровал исследователь безопасности Арнольд Осипов.

«В последней кампании использовались архивные файлы, содержащие LNK-файлы, указывающие на полезную нагрузку, хранящуюся на серверах WebDAV.»

Арнольд Осипов

Sticky Werewolf, одна из многих хакерских групп, нацеленных на Россию и Беларусь, таких как Cloud Werewolf (также известный как Inception и Cloud Atlas), Quartz Wolf, Red Wolf (также известный как RedCurl) и Scaly Wolf, был впервые задокументирован BI.ZONE в октябре 2023 года. Предполагается, что группа активна с апреля 2023 года.

Исследование VPNРоссия выявило, что ранее зафиксированные атаки включали фишинговые письма с ссылками на вредоносные файлы, которые приводили к развертыванию удаленного доступа Trojan (RAT) под названием NetWire. Эта инфраструктура была отключена в начале прошлого года после операции правоохранительных органов.

Новая цепочка атак, наблюдаемая Morphisec, включает использование RAR-архива, который при извлечении содержит два LNK-файла и поддельный PDF-документ. Последний представляет собой приглашение на видеоконференцию и призывает получателей щелкнуть на LNK-файлы, чтобы получить повестку дня встречи и список рассылки.

Открытие любого из LNK-файлов запускает выполнение бинарного файла, размещенного на сервере WebDAV, что приводит к запуску замаскированного сценария Windows batch. Этот сценарий, в свою очередь, предназначен для выполнения скрипта AutoIt, который в конечном итоге инъектирует финальную полезную нагрузку, одновременно обходя средства безопасности и попытки анализа.

«Этот исполняемый файл является самораспаковывающимся архивом NSIS, который является частью ранее известного криптера CypherIT,» — сказал Осипов. «Хотя оригинальный криптер CypherIT больше не продается, текущий исполняемый файл является его вариантом, как это наблюдалось на нескольких хакерских форумах.»

Цель кампании — доставка стандартных RAT и вредоносного ПО, такого как Rhadamanthys и Ozone RAT.

Хотя нет окончательных доказательств, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст предполагает возможные связи с проукраинской кибершпионской группой или хактивистами, но эта атрибуция остается неопределенной, отметил Осипов.

Эти события происходят на фоне того, что BI.ZONE выявила кластер активности под кодовым названием Sapphire Werewolf, который причастен к более чем 300 атакам на российские образовательные, производственные, ИТ, оборонные и аэрокосмические секторы с использованием Amethyst, ответвления популярного открытого кода SapphireStealer.

В марте 2024 года российская компания также выявила кластеры, известные как Fluffy Wolf и Mysterious Werewolf, которые использовали spear-phishing для распространения Remote Utilities, майнера XMRig, WarZone RAT и уникального заднего хода под названием RingSpy.

«Задний ход RingSpy позволяет противнику удаленно выполнять команды, получать их результаты и загружать файлы из сетевых ресурсов,» — отмечается в отчете. «Сервер командного управления заднего хода — бот Telegram.»

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.