Основы Интернет - технологий.

Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.

По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.

Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.

Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.

Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.

По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.

В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.

Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.

Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:UsersUserAppDataoamingMicrosoftWindowstart MenuProgramstartupTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.

NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:

• управлять файлами, процессами, службами, окнами, а также установленными приложениями и сетевыми соединениями;


• редактировать реестр Windows;


• изменять и получать данные из буфера обмена;


• получать данные о нажатиях клавиш;


• получать видео с экрана, веб-камеры и записывать звук микрофона в режиме реального времени;


• выполнять удаленно команды с помощью командной строки Windows;


• получать аутентификационные данные из различных источников;


• загружать файлы и запускать их;


• читать и редактировать файл C:Windowsystem32driversetchosts;


• получать списки сетевых папок и устройств в локальной сети;


• осуществлять сканирование сети.

Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.