Поделиться
F.A.C.C.T. обнаружила новые атаки проукраинских кибершпионов Sticky Werewolf
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, сообщила об атаке APT-группировки Sticky Werewolf на российские научно-производственные предприятия, которая произошла после новогодних праздников. На этот раз кибершпионы отправили фейковые фишинговые письма от имени Минпромторга России. Одно из таких писем вечером 13 января перехватило и заблокировало решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR. Специалисты центра кибербезопасности F.A.C.C.T. провели его анализ.
Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы военно-промышленного комплекса России. Отмечались также атаки в Белоруссии и Польше. В качестве первоначального вектора атак Sticky Werewolf проводят фишинговые рассылки по электронной почте с вредоносными вложениями, в которых часто встречаются таĸие инструменты ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).
Злоумышленники из Sticky Werewolf отправили вредоносные письма, в которых содержалось поручение проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных.
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. На то, что документ «липовый», указывает, среди прочего, несоответствие должности Дениса Мантурова (с мая 2024 г. он уже не глава Минпромторга) и разные даты принятия «решения», о которых говорится в январской и декабрьской рассылках.
Первое вложение содержало фальшивый документ-приманку «Письмо_в_организации_по_привлечению_осужденных.docx».
Второе вложение содержало защищенный паролем архив. Внутри архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe».
При запуске происходит доставка трояна удаленного доступа Ozone RAT, предназначенного для предоставления скрытого удаленного доступа к скомпрометированному устройству.
В ходе дополнительного исследования специалисты F.A.C.C.T. обнаружили фишинговое письмо от 23 декабря 2024 г. с аналогичной темой, в котором содержалось два фейковых документа «Письмо_в_организации_по_привлечению_осужденных.docx» и «список рассылки.docx». Злоумышленники также атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри.
В декабре 2023 г. Sticky Werewolf дважды атаковали российскую фарму, прикрываясь МЧС и Минстроем, а в январе 2024 г. отправляли фейковые письма якобы от ФСБ.
Поделиться
Короткая ссылка
