BI.ZONE об атаках группировки Sticky Werewolf

По сообщению компании BI.ZONE, данные ее киберразведки говорят том, что группировка Sticky Werewolf активна как минимум с апреля 2023 г. и к настоящему времени осуществила не менее 30 атак. Хакеры получают доступ к системам госорганизаций России и Беларуси с помощью фишинговых писем со ссылками на вредоносные файлы. Для создания ссылок используется коммерческое вредоносное ПО.

Ссылки для фишинговых писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страна и город, версия браузера и ОС. Это помогает сразу провести базовое профилирование, отсеять системы, которые не представляют интереса для атаки, и сосредоточиться на наиболее приоритетных.

Кроме того, благодаря IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.

Ссылки в письмах ведут на вредоносные файлы с расширением .exe или .scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например, экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и т.д. Как отмечают в BI.ZONE, коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену.

NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует протектор Themida, который обеспечивает обфускацию – противодействие анализу вредоносной активности.