Търсене
Close this search box.

Sticky Werewolf разширява целите на кибератаките в Русия и Беларус

Изследователи в областта на киберсигурността разкриха подробности за  заплаха, известна като Sticky Werewolf, който е свързан с кибератаки, насочени срещу организации в Русия и Беларус.

Фишинг атаките са били насочени към фармацевтична компания, руски научноизследователски институт, занимаващ се с микробиология и разработване на ваксини, и авиационния сектор, като са надхвърлили първоначалния си фокус върху правителствени организации, се казва в доклад на Morphisec от миналата седмица.

„При предишните кампании веригата на заразяване започваше с фишинг имейли, съдържащи връзка за изтегляне на злонамерен файл от платформи като gofile.io“, заяви изследователят по сигурността Арнолд Осипов. „При последната кампания са използвани архивни файлове, съдържащи LNK файлове, сочещи към полезен товар, съхраняван на WebDAV сървъри.“

Sticky Werewolf, една от многото заплахи, насочени към Русия и Беларус, като Cloud Werewolf (известен още като Inception и Cloud Atlas), Quartz Wolf, Red Wolf (известен още като RedCurl) и Scaly Wolf, е документирана за първи път от BI.ZONE през октомври 2023 г. Смята се, че групата е активна поне от април 2023 г.

При предишни атаки, документирани от фирмата за киберсигурност, са използвани фишинг имейли с връзки към зловредни товари, които завършват с внедряването на троянеца за отдалечен достъп (RAT) NetWire, чиято инфраструктура беше свалена в началото на миналата година след операция на правоприлагащите органи.

Новата верига от атаки, наблюдавана от Morphisec, включва използването на прикачен файл с архив RAR, който при разархивиране съдържа два LNK файла и примамлив PDF документ, като последният претендира, че е покана за видеоконференция и призовава получателите да кликнат върху LNK файловете, за да получат програмата на срещата и списъка за разпространение на имейли.

Отварянето на който и да е от LNK файловете задейства изпълнението на двоичен файл, разположен на WebDAV сървър, който води до стартирането на замаскиран пакетен скрипт на Windows. Скриптът, от своя страна, е предназначен за стартиране на AutoIt скрипт, който в крайна сметка инжектира крайния полезен товар, като същевременно заобикаля софтуера за сигурност и опитите за анализ.

„Този изпълним файл е саморазгъващ се архив на NSIS, който е част от известен по-рано криптограф на име CypherIT“, каза Осипов. „Макар че оригиналният криптер CypherIT вече не се продава, настоящият изпълним файл е негов вариант, както се наблюдава в няколко хакерски форума.“

Крайната цел на кампанията е да се доставят стокови RAT и зловреден софтуер за кражба на информация, като Rhadamanthys и Ozone RAT.

„Въпреки че няма категорични доказателства, сочещи конкретен национален произход на групата Sticky Werewolf, геополитическият контекст предполага възможни връзки с проукраинска кибершпионска група или хактивисти, но тази атрибуция остава несигурна“, каза Осипов.

Разработката идва в момент, когато BI.ZONE разкри клъстер за активност с кодово име Sapphire Werewolf, на който се приписва, че стои зад повече от 300 атаки срещу руските сектори на образованието, производството, ИТ, отбраната и космическото инженерство, използвайки Amethyst, разклонение на популярния SapphireStealer с отворен код.

През март 2024 г. руската компания също така разкри клъстери, наричани Fluffy Wolf и Mysterious Werewolf, които са използвали spear-phishing примамки за разпространение на Remote Utilities, XMRig miner, WarZone RAT и поръчков backdoor, наречен RingSpy.

„Задната вратичка RingSpy позволява на противника да изпълнява дистанционно команди, да получава резултатите от тях и да изтегля файлове от мрежови ресурси“, се отбелязва в доклада. „Сървърът [за управление и контрол] на бекдора е бот на Telegram.“

 

Източник: The Hacker News

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!