Хак-группа Sticky Werewolf атакует государственные организации в России и Беларуси - «Новости»

  • 10:30, 16-окт-2023
  • Новости / Изображения / Текст / Ссылки / Вёрстка / Преимущества стилей / Списки / Видео уроки
  • Evans
  • 0

Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.


По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.


Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.


Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.


Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.


По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.


В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.



Фальшивое предупреждение хакеров

Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.



Фейк для белорусских организаций

Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:UsersUserAppDataoamingMicrosoftWindowstart MenuProgramstartupTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.


NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:



  • управлять файлами, процессами, службами, окнами, а также установленными приложениями и сетевыми соединениями;

  • редактировать реестр Windows;

  • изменять и получать данные из буфера обмена;

  • получать данные о нажатиях клавиш;

  • получать видео с экрана, веб-камеры и записывать звук микрофона в режиме реального времени;

  • выполнять удаленно команды с помощью командной строки Windows;

  • получать аутентификационные данные из различных источников;

  • загружать файлы и запускать их;

  • читать и редактировать файл C:Windowsystem32driversetchosts;

  • получать списки сетевых папок и устройств в локальной сети;

  • осуществлять сканирование сети.


Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.


«Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков», — комментирует Олег Скулкин, руководитель управления киберразведки.


Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать. По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак. Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы. Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки. Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline_

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!