Исследователи кибербезопасности раскрыли подробности об угрозе, известной как Sticky Werewolf, которая была связана с кибератаками, нацеленными на организации в России и Беларуси.
Фишинговые атаки были нацелены на фармацевтическую компанию, российский научно-исследовательский институт, занимающийся микробиологией и разработкой вакцин, и авиационный сектор, выходящий за рамки их первоначальной направленности на правительственные организации, сказал Morphisec в отчете на прошлой неделе.
"В предыдущих кампаниях цепочка заражений начиналась с фишинговых электронных писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io", - сказал исследователь безопасности Арнольд Осипов. "В этой последней кампании использовались архивные файлы, содержащие файлы LNK, указывающие на полезную нагрузку, хранящуюся на серверах WebDAV".
Sticky Werewolf, один из многих субъектов угроз, нацеленных на Россию и Беларусь, таких как Cloud Werewolf (он же Inception и Cloud Atlas), Quartz Wolf, Red Wolf (он же RedCurl) и Scaly Wolf, был впервые задокументирован BI.ЗОНА действия в октябре 2023 года. Считается, что группа активна как минимум с апреля 2023 года.
Предыдущие атаки, задокументированные фирмой по кибербезопасности, использовали фишинговые электронные письма со ссылками на вредоносные полезные программы, кульминацией которых стало развертывание троянца удаленного доступа NetWire (RAT), инфраструктура которого была отключена в начале прошлого года после операции правоохранительных органов.
Новая цепочка атак, обнаруженная Morphisec, включает использование вложения из архива RAR, которое при извлечении содержит два файла LNK и фиктивный PDF-документ, причем последний выдает себя за приглашение на видеоконференцию и призывает получателей кликнуть по файлам LNK, чтобы получить повестку собрания и список рассылки по электронной почте.
Открытие любого из файлов LNK запускает выполнение двоичного файла, размещенного на сервере WebDAV, что приводит к запуску запутанного пакетного скрипта Windows. Скрипт, в свою очередь, предназначен для запуска скрипта AutoIt, который в конечном итоге вводит конечную полезную нагрузку, в то же время обходя программное обеспечение безопасности и попытки анализа.
"Этот исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного криптографа под названием CypherIT", - сказал Осипов. "Хотя оригинальный CypherIT crypter больше не продается, текущий исполняемый файл является его разновидностью, как указано на паре хакерских форумов".
Конечная цель кампании - доставить товарных крыс и вредоносные программы-похитители информации, такие как Rhadamanthys и Ozone RAT.
"Хотя нет окончательных доказательств, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст предполагает возможные связи с проукраинской группой кибершпионажа или хактивистами, но эта атрибуция остается неопределенной", - сказал Осипов.
Разработка поставляется в формате BI.ZONE выявила группу активности под кодовым названием Sapphire Werewolf, которая, как утверждается, стоит за более чем 300 атаками на российское образование, производство, ИТ, оборонный и аэрокосмический секторы с использованием Amethyst, ответвления популярного приложения с открытым исходным кодом SapphireStealer.
В марте 2024 года российская компания также обнаружила кластеры, известные как Fluffy Wolf и Mysterious Werewolf, которые использовали фишинговые приманки для распространения удаленных утилит, XMRig miner, WarZone RAT и специализированного бэкдора под названием RingSpy.
"Бэкдор RingSpy позволяет злоумышленнику удаленно выполнять команды, получать их результаты и загружать файлы из сетевых ресурсов", - отмечается в нем. "Сервер [командования и контроля] бэкдора представляет собой Telegram-бота".
