Xakep #305. Многошаговые SQL-инъекции
Специалисты компании FACCT предупредили о новых атаках кибершпионской группировки Sticky Werewolf. В письмах хакеры выдают себя за представителей Минстроя России и якобы информируют жертв об изменениях в приказе Министра обороны №80 от 2020 года об оснащении объектов техническими средствами охраны.
Напомним, что первыми о Sticky Werewolf рассказали исследователи компании Bi.Zone. По их данным, хакеры получают доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы.
Отличительной чертой группировки являет использование достаточно популярных, коммерческих вредоносных инструментов. Так, в роли полезных нагрузок используются трояны удаленного доступа NetWire RAT и Ozone RAT, а также стилеры MetaStealer и RedLine.
По статистике Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.
Как теперь сообщают специалисты FACCT, судя по заголовкам письма из новой кампании Sticky Werewolf, вероятной целью атакующих должен был стать российский НИИ, занимающийся проблемами микробиологии, в том числе разработкой вакцин.
В теле фишингового письма содержалась ссылка на загрузку вредоносного файла hxxps://online-cloud[.]info/prikaz_80_new.pdf. При переходе по ссылке происходила переадресация на другой ресурс hxxps://store5.gofile[.]io/download/direct/0730c9fd-966f-4c1e-9035-2b837cf81be7/prikaz_80_new.%D1%80df.exe и загружался исполняемый файл prikaz_80_new.pdf.exe. То есть пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
Файл prikaz_80_new.pdf.exe представлял собой самораспаковывающийся архив, подготовленный в NSIS Installer. Файл содержал приманку prikaz_80_new.pdf, а также исполняемый файл Symlink.exe, защищенный протектором Themida.
Если жертва запускала prikaz_80_new.pdf.exe происходило следующее:
- создание файлов %TEMP%\prikaz_80_new.pdf, %APPDATA%\Symlink.exe;
- открытие файла-приманки pdf;
- создание ярлыка %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Symlink.lnk, который будет запускать файл %APPDATA%\Symlink.exe после перезапуска системы;
- запуск файла exe.
Исследователи пишут, что файл Symlink.exe, после снятия Themida, представляет собой обфусцированный исполняемый .NET файл, содержащий два вредоноса. Так, Symlink.exe отвечает за внедрение и запуск малвари в процессах AddInProcess32.exe (Ozone RAT) и InstallUtil.exe (MetaStealer или RedLine).