Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.

По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.

Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.

Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.

Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.

По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.

В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.

Фальшивое предупреждение хакеров

Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.

Фейк для белорусских организаций

Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\uTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.

NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:

  • управлять файлами, процессами, службами, окнами, а также установленными приложениями и сетевыми соединениями;
  • редактировать реестр Windows;
  • изменять и получать данные из буфера обмена;
  • получать данные о нажатиях клавиш;
  • получать видео с экрана, веб-камеры и записывать звук микрофона в режиме реального времени;
  • выполнять удаленно команды с помощью командной строки Windows;
  • получать аутентификационные данные из различных источников;
  • загружать файлы и запускать их;
  • читать и редактировать файл C:\Windows\System32\drivers\etc\hosts;
  • получать списки сетевых папок и устройств в локальной сети;
  • осуществлять сканирование сети.

Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.

«Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков», — комментирует Олег Скулкин, руководитель управления киберразведки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии