Търсене
Close this search box.

Изследователи в областта на киберсигурността разкриха подробности за  заплаха, известна като Sticky Werewolf, който е свързан с кибератаки, насочени срещу организации в Русия и Беларус.

Фишинг атаките са били насочени към фармацевтична компания, руски научноизследователски институт, занимаващ се с микробиология и разработване на ваксини, и авиационния сектор, като са надхвърлили първоначалния си фокус върху правителствени организации, се казва в доклад на Morphisec от миналата седмица.

„При предишните кампании веригата на заразяване започваше с фишинг имейли, съдържащи връзка за изтегляне на злонамерен файл от платформи като gofile.io“, заяви изследователят по сигурността Арнолд Осипов. „При последната кампания са използвани архивни файлове, съдържащи LNK файлове, сочещи към полезен товар, съхраняван на WebDAV сървъри.“

Sticky Werewolf, една от многото заплахи, насочени към Русия и Беларус, като Cloud Werewolf (известен още като Inception и Cloud Atlas), Quartz Wolf, Red Wolf (известен още като RedCurl) и Scaly Wolf, е документирана за първи път от BI.ZONE през октомври 2023 г. Смята се, че групата е активна поне от април 2023 г.

При предишни атаки, документирани от фирмата за киберсигурност, са използвани фишинг имейли с връзки към зловредни товари, които завършват с внедряването на троянеца за отдалечен достъп (RAT) NetWire, чиято инфраструктура беше свалена в началото на миналата година след операция на правоприлагащите органи.

Новата верига от атаки, наблюдавана от Morphisec, включва използването на прикачен файл с архив RAR, който при разархивиране съдържа два LNK файла и примамлив PDF документ, като последният претендира, че е покана за видеоконференция и призовава получателите да кликнат върху LNK файловете, за да получат програмата на срещата и списъка за разпространение на имейли.

Отварянето на който и да е от LNK файловете задейства изпълнението на двоичен файл, разположен на WebDAV сървър, който води до стартирането на замаскиран пакетен скрипт на Windows. Скриптът, от своя страна, е предназначен за стартиране на AutoIt скрипт, който в крайна сметка инжектира крайния полезен товар, като същевременно заобикаля софтуера за сигурност и опитите за анализ.

„Този изпълним файл е саморазгъващ се архив на NSIS, който е част от известен по-рано криптограф на име CypherIT“, каза Осипов. „Макар че оригиналният криптер CypherIT вече не се продава, настоящият изпълним файл е негов вариант, както се наблюдава в няколко хакерски форума.“

Крайната цел на кампанията е да се доставят стокови RAT и зловреден софтуер за кражба на информация, като Rhadamanthys и Ozone RAT.

„Въпреки че няма категорични доказателства, сочещи конкретен национален произход на групата Sticky Werewolf, геополитическият контекст предполага възможни връзки с проукраинска кибершпионска група или хактивисти, но тази атрибуция остава несигурна“, каза Осипов.

Разработката идва в момент, когато BI.ZONE разкри клъстер за активност с кодово име Sapphire Werewolf, на който се приписва, че стои зад повече от 300 атаки срещу руските сектори на образованието, производството, ИТ, отбраната и космическото инженерство, използвайки Amethyst, разклонение на популярния SapphireStealer с отворен код.

През март 2024 г. руската компания също така разкри клъстери, наричани Fluffy Wolf и Mysterious Werewolf, които са използвали spear-phishing примамки за разпространение на Remote Utilities, XMRig miner, WarZone RAT и поръчков backdoor, наречен RingSpy.

„Задната вратичка RingSpy позволява на противника да изпълнява дистанционно команди, да получава резултатите от тях и да изтегля файлове от мрежови ресурси“, се отбелязва в доклада. „Сървърът [за управление и контрол] на бекдора е бот на Telegram.“

 

Източник: The Hacker News

Подобни публикации

14 ноември 2024

Киберпрестъпници атакуват аерокосмическия секто...

Активна от септември миналата година фишинг кампания е насочена към...
14 ноември 2024

Държавни служители на САЩ са компрометирани при...

CISA и ФБР потвърдиха, че китайски хакери са компрометирали „частни...
14 ноември 2024

Критичен бъг в EoL устройствата D-Link NAS вече...

Атакуващите вече се насочват към критична уязвимост с публично дост...
14 ноември 2024

Функция на Pixel AI вече анализира телефонни ра...

Google добавя нова функция за защита от измами с помощта на изкуств...
13 ноември 2024

Най-използваните уязвимости през 2023 г. според...

Според данни от правителствени агенции от разузнавателния алианс „П...
13 ноември 2024

Защо с 10 езика за програмиране не сте по-интер...

Нови данни от LinkedIn за най-търсените професии в платформата през...
Бъдете социални
Още по темата
11/11/2024

Легални ли са бенгалските к...

Това е котешка стъпка за хакерите....
11/11/2024

Пробив на адвокатска кантор...

Информацията за над 300 000 пациенти...
08/11/2024

Уязвимост на Palo Alto Netw...

Според агенцията за киберсигурност CISA уязвимост...
Последно добавени
14/11/2024

Киберпрестъпници атакуват а...

Активна от септември миналата година фишинг...
14/11/2024

Държавни служители на САЩ с...

CISA и ФБР потвърдиха, че китайски...
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!