Специалисты компании FACCT сообщили, что после новогодних праздников APT-группировка Sticky Werewolf (она же PhaseShifters) пыталась атаковать российские научно-производственные предприятия, выдавая себя за представителей Минпромторга РФ.
Одно из фишинговых писем было перехвачено экспертами вечером 13 января 2025 года, и специалисты провели анализ рассылки.
Вредоносные письма сдержали «поручение» проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных.
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. Заметить, что документ — фальшивка, было несложно. Например, на это указывало несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия «решения», о которых хакеры писали в январской и декабрьской рассылках.
Письмо содержало два вложения: сопроводительное письмо-приманку на бланке Минпромторга, а также вредоносный архив «Форма заполнения.rar», защищенный паролем «2025».
Внутри этого архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe». В случае его запуска в систему жертвы проникал троян удаленного доступа Ozone RAT, предназначенный для предоставления скрытого удаленного доступа к скомпрометированному устройству.
Дополнительный анализ обнаружил и другое фишинговое письмо, датированное 23 декабря 2024 года, с аналогичной темой, в котором содержалось два фейковых документа: «Письмо_в_организации_по_привлечению_осужденных.docx» и «список рассылки.docx». В этом случае злоумышленники тоже атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри.
Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы ВПК России. Также была обнаружены атаки в Беларуси и Польше.
В ĸачестве первоначального веĸтора атаĸ группа использует фишинговые письма с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация стилера RedLine).
