Специалисты BI.ZONE обнаружили две новые кампании группировки Silent Werewolf. Первая была направлена исключительно на российские организации, а вторая — на молдавские и, предположительно, российские.
Новые атаки группы были зафиксированы в марте 2025 года, и эксперты сообщают, что злоумышленники в очередной раз «сменили имидж». Для каждой серии атак Silent Werewolf разработали новый уникальный загрузчик.
На момент исследования сама полезная нагрузка была недоступна, но ретроспективный анализ аналогичных атак Silent Werewolf показал, что, вероятнее всего, в качестве малвари в этих кампаниях использовалась вариация стилера XDigo.
Для доставки замаскированного загрузчика использовались фишинговые письма, написанные от лица реально существующих компаний. При этом некоторые жертвы группы получили загрузчик под видом рекомендаций по защите от кибератак.
В рамках первой кампании, направленной исключительно на российские организации, атакующие рассылали ранее неизвестный обфусцированный загрузчик, написанный на C#, который был замаскирован под досудебную претензию, адресованную председателю президиума Алматинской городской коллегии адвокатов, и под проект строительства жилого помещения.
В рамках второй кампании вариант C#-загрузчика распространялся под видом графика обмена служебных отпусков, рекомендаций по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-вымогателей. Целью атак были организации на территории России и Молдовы.
В общей сложности злоумышленники попытались атаковать около 80 организаций из различных отраслей, включая атомную промышленность, приборо-, авиа- и машиностроение.
Если загрузчик запускал пользователь из целевой для злоумышленников организации, то на машину жертвы скачивалась вредоносная нагрузка, которая приводила к компрометации. Если же такой загрузчик анализировался повторно (например, в песочнице), то вместо нагрузки в ходе анализа загружался легитимный файл языковой модели Llama.
«Многие организации, особенно крупные, используют в качестве одного из элементов киберзащиты так называемые песочницы. Чтобы выявить вредоносные программы, песочницы запускают подозрительный объект в виртуальной среде и проверяют, представляет ли он угрозу. Однако злоумышленники Silent Werewolf предусмотрели такой вариант. После запуска загрузчика происходило обращение к серверу атакующих для скачивания другой вредоносной программы. Если страна или организация, в которых был запущен загрузчик, не интересовали атакующих или же загрузчик был запущен повторно, то вместо ВПО загружался легитимный файл языковой модели Llama. Из‑за этого песочница уже не могла получить вредоносную нагрузку и собрать больше информации о цепочке атаки», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
