Изследователи в областта на киберсигурността разкриха подробности за  заплаха, известна като Sticky Werewolf, който е свързан с кибератаки, насочени срещу организации в Русия и Беларус.

Фишинг атаките са били насочени към фармацевтична компания, руски научноизследователски институт, занимаващ се с микробиология и разработване на ваксини, и авиационния сектор, като са надхвърлили първоначалния си фокус върху правителствени организации, се казва в доклад на Morphisec от миналата седмица.

„При предишните кампании веригата на заразяване започваше с фишинг имейли, съдържащи връзка за изтегляне на злонамерен файл от платформи като gofile.io“, заяви изследователят по сигурността Арнолд Осипов. „При последната кампания са използвани архивни файлове, съдържащи LNK файлове, сочещи към полезен товар, съхраняван на WebDAV сървъри.“

Sticky Werewolf, една от многото заплахи, насочени към Русия и Беларус, като Cloud Werewolf (известен още като Inception и Cloud Atlas), Quartz Wolf, Red Wolf (известен още като RedCurl) и Scaly Wolf, е документирана за първи път от BI.ZONE през октомври 2023 г. Смята се, че групата е активна поне от април 2023 г.

При предишни атаки, документирани от фирмата за киберсигурност, са използвани фишинг имейли с връзки към зловредни товари, които завършват с внедряването на троянеца за отдалечен достъп (RAT) NetWire, чиято инфраструктура беше свалена в началото на миналата година след операция на правоприлагащите органи.

Новата верига от атаки, наблюдавана от Morphisec, включва използването на прикачен файл с архив RAR, който при разархивиране съдържа два LNK файла и примамлив PDF документ, като последният претендира, че е покана за видеоконференция и призовава получателите да кликнат върху LNK файловете, за да получат програмата на срещата и списъка за разпространение на имейли.

Отварянето на който и да е от LNK файловете задейства изпълнението на двоичен файл, разположен на WebDAV сървър, който води до стартирането на замаскиран пакетен скрипт на Windows. Скриптът, от своя страна, е предназначен за стартиране на AutoIt скрипт, който в крайна сметка инжектира крайния полезен товар, като същевременно заобикаля софтуера за сигурност и опитите за анализ.

„Този изпълним файл е саморазгъващ се архив на NSIS, който е част от известен по-рано криптограф на име CypherIT“, каза Осипов. „Макар че оригиналният криптер CypherIT вече не се продава, настоящият изпълним файл е негов вариант, както се наблюдава в няколко хакерски форума.“

Крайната цел на кампанията е да се доставят стокови RAT и зловреден софтуер за кражба на информация, като Rhadamanthys и Ozone RAT.

„Въпреки че няма категорични доказателства, сочещи конкретен национален произход на групата Sticky Werewolf, геополитическият контекст предполага възможни връзки с проукраинска кибершпионска група или хактивисти, но тази атрибуция остава несигурна“, каза Осипов.

Разработката идва в момент, когато BI.ZONE разкри клъстер за активност с кодово име Sapphire Werewolf, на който се приписва, че стои зад повече от 300 атаки срещу руските сектори на образованието, производството, ИТ, отбраната и космическото инженерство, използвайки Amethyst, разклонение на популярния SapphireStealer с отворен код.

През март 2024 г. руската компания също така разкри клъстери, наричани Fluffy Wolf и Mysterious Werewolf, които са използвали spear-phishing примамки за разпространение на Remote Utilities, XMRig miner, WarZone RAT и поръчков backdoor, наречен RingSpy.

„Задната вратичка RingSpy позволява на противника да изпълнява дистанционно команди, да получава резултатите от тях и да изтегля файлове от мрежови ресурси“, се отбелязва в доклада. „Сървърът [за управление и контрол] на бекдора е бот на Telegram.“