Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.
По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.
Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.
Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.
Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.
По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.
В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.
Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.
Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\uTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.
NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:
- управлять файлами, процессами, службами, окнами, а также установленными приложениями и сетевыми соединениями;
- редактировать реестр Windows;
- изменять и получать данные из буфера обмена;
- получать данные о нажатиях клавиш;
- получать видео с экрана, веб-камеры и записывать звук микрофона в режиме реального времени;
- выполнять удаленно команды с помощью командной строки Windows;
- получать аутентификационные данные из различных источников;
- загружать файлы и запускать их;
- читать и редактировать файл C:\Windows\System32\drivers\etc\hosts;
- получать списки сетевых папок и устройств в локальной сети;
- осуществлять сканирование сети.
Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.
«Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков», — комментирует Олег Скулкин, руководитель управления киберразведки.