Хакеры Mysterious Werewolf запустили собственные инструменты для атак на российский ВПК

Логотип компании
27.02.2024

Раньше они использовали популярные инструменты с открытым исходным кодом, но, вероятно, это оказалось малорезультативным. Теперь злоумышленники создали свои собственные вредоносы для обхода защиты.

Группировка Mysterious Werewolf активна как минимум с 2023 года. За это время она не менее 3 раз инициировала атаки на предприятия российского ВПК.

Для проникновения в инфраструктуру, злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023-38831. Они отправляли письма с заархивированным вложением. В архиве содержались документ-отвлекалка в виде официального письма и папка с вредоносным файлом в формате CMD. При открытии «официального письма» в WinRAR автоматически запускался вредоносный файл.

На компьютере жертвы устанавливался вредоносный бэкдор RingSpy, который предоставлял злоумышленникам удаленный доступ к системе, позволяя выполнять команды и скачивать файлы. Управление бэкдором осуществлялось через Telegram-бота.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение.

Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное программное обеспечение собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре.

Обнаружить атаку на ранней стадии и не допустить ее развития помогут выстроенные процессы мониторинга и реагирования на инциденты кибербезопасности. А своевременно узнавать о новых методах атак активных кибергруппировок и усиливать защиту компании позволят платформы threat intelligence.

Читайте также
Вовлечение детей сотрудников в ИТ-сферу в рамках корпоративной образовательной программы позволяет достичь как минимум двух целей: развить математические таланты у школьников, которые в дальнейшем смогут получить профессию в ИТ, и повысить лояльность их родителей — специалистов компании.

Похожие статьи