Исследователи предупредили, что ранее неизвестная группировка Sticky Werewolf получает доступ к системам государственных организаций в России и Беларуси с помощью фишинговых писем, которые содержат ссылки на вредоносные файлы. Отличительной чертой этой группы являет использование достаточно популярных, коммерческих вредоносных инструментов, которые несложно обнаружить и заблокировать.
По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.
Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.
Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.
Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.
По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.
В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.
Фальшивое предупреждение хакеров
Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.
Фейк для белорусских организаций
Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:UsersUserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupuTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.
NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:
Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.
По данным специалистов компании Bi.Zone, группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак.
Для генерации вредоносных ссылок хакеры используют сервис IP Logger, который позволяет не только создавать фишинговые ссылки, но и собирать информацию о жертвах, которые по ним перешли. Например, атакующие получали информацию о времени перехода, IP‑адресе, стране, городе, версии браузера и операционной системы.
Эта информация позволяла хакерам сразу провести базовое профилирование потенциально скомпрометированных систем и отобрать наиболее значимые из них, не обращая внимания на те, которые относятся, например, к песочницам, исследовательской деятельности и странам, не входящим в круг интересов группировки.
Также этот сервис позволял злоумышленникам использовать собственные доменные имена. Таким образом, фишинговая ссылка выглядела для жертвы максимально легитимно, например: hXXps://diskonline[.]net/poryadok-deystviy-i-opoveshcheniya-grazhdanskoy-oborony.pdf.
По фишинговым ссылкам располагались вредоносные файлы с расширением .exe или .scr, которые были замаскированы под документы Microsoft Word или PDF. За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а также установка вредоноса NetWire RAT.
В качестве документа, направленного на отвлечение внимания жертвы, для российских организаций использовались, например, экстренное предупреждение МЧС России или исковое заявление.
Фальшивое предупреждение хакеров
Для атак на белорусские организации, в качестве документа использовалось предписание об устранении нарушений законодательства.
Фейк для белорусских организаций
Для закрепления в скомпрометированной системе в папке автозагрузки создавался ярлык, который указывает на образец малвари. Например: C:UsersUserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupuTorrent.lnk. При этом для обфускации NetWire хакеры использовали протектор Themida, что обеспечивало обфускацию и затрудняло обнаружение вредоноса и его анализ.
NetWire позволял атакующим собирать информацию о скомпрометированной системе и осуществлять следующие действия:
Исследователи отмечают, что в марте 2023 года человек, который в течение нескольких лет продавал NetWire под видом легитимного ПО, был задержан в Хорватии. При этом сервер и доменное имя, использовавшееся для распространения малвари, были конфискованы.
«Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков», — комментирует Олег Скулкин, руководитель управления киберразведки.