Специалисты компании F6 рассказали об активности шпионской хак-группы Core Werewolf (она же PseudoGamaredon), нацеленной на военные организации Беларуси и России.

Группировка Core Werewolf активна с августа 2021 года. В основном она атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической инфраструктуры. В своих кампаниях группа использует малварь UltraVNC и MeshCentral.

Исследователи сообщают, что 2 мая 2025 года в общедоступную онлайн-песочницу был загружен .eml файл. Это письмо было отправлено 29 апреля 2025 года с почтового ящика al.gursckj@mail[.]ru и содержало вложение с защищенным паролем архивом с названием «Списки_на_нагр.7z», который специалисты отнесли к арсеналу Core Werewolf.

Внутри находился 7z-архив «Списки на уточнение вс представляемых к награждению гос награды.exe». При запуске он распаковывает содержимое во временный каталог, одновременно инициируя открытие PDF-файла-приманки «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипта, запускающего цепочку вредоносных действий.

Первым запускался файл crawl.cmd, который извлекал содержимое из ранее распакованного архива и передавал управление скрипту kingdom.bat. Этот скрипт создавал конфигурационный файл ultravnc.ini для UltraVNC, в котором был заранее задан RC4-хешированный пароль, включен перенос файлов, разрешено управление удаленным входом и отключен запрос на подключение.

После этого вызывался mosque.bat, который завершал уже запущенные процессы UltraVNC, проверял связь с управляющим сервером stroikom-vl[.]ru и запускал VNC-клиент под видом Sysgry.exe.

Исследователи отмечают, что ранее файлы-приманки в виде наградных списков уже использовались в атаках Core Werewolf, наряду с файлами, содержащими координаты различных военных объектов, и прочими документами.

17 апреля 2025 года аналитики обнаружили еще один вредоносный 7z-архив — undoubtedly.exe, загруженный в VirusTotal. Этот файл тоже удалось связать с Core Werewolf и, вероятно, он применялся при атаках на российские военные организации.

Об этом свидетельствует наличие в архиве PDF-файла-приманки «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf», содержащего в себе информацию военного характера.

Помимо PDF-файла, архив содержал скрипт conscience.cmd, который запускал аналогичную  вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате выполнялась проверка соединения с другим управляющим сервером (ubzor[.]ru), и запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии