Новости Mysterious Werewolf атакует российский ВПК шпионским бэкдором

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.652
Репутация
11.595
Реакции
61.571
RUB
50
Шпионы Mysterious Werewolf объявились в России в прошлом году.


Вначале они использовали в атаках инструмент пентеста с открытым исходным кодом, а потом для большей скрытности стали применять бэкдор собственной разработки. В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны.

froHILHO0FSDGYmgd5-97w.png


Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR.

Поддельные сообщения обычно распространяются от имени профильного регулятора. Вложенный архив содержит маскировочное «официальное письмо» и папку с вредоносным CMD-файлом, который автоматически исполняется при попытке открыть документ-приманку.

В результате на устройство жертвы устанавливается бэкдор RingSpy, управляемый с помощью бота Telegram. Удаленный доступ позволяет злоумышленникам выполнять команды в зараженной системе и выгружать файлы по выбору.

«В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании, — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
— Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение. Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре».

На территории России действуют и другие «оборотни» — шпионы Core Werewolf, Sticky Werewolf, а также хактивисты Werewolves, вооруженные клоном шифровальщика LockBit.



 
Сверху Снизу