Шпионы Core Werewolf атаковали военные организации Белоруссии и России
Специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали активность группировки шпионов Core Werewolf, направленную на военные организации Белоруссии и России. Об этом CNews сообщили представители F6.
Core Werewolf — кибершпионская группа, которая активно атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 г. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.
2 мая 2025 г. на общедоступную онлайн-песочницу был загружен .eml файл. Электронное письмо было отправлено 29 апреля 2025 г. с почтового ящика al.gursckj@mail[.]ru и содержало вложение с защищенным паролем архивом с названием «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf.
Внутри находился исполняемый файл «Списки на уточнение вс представляемых к награждению гос награды.exe», выполняющий роль дроппера. При запуске он распаковывает содержимое во временный каталог, одновременно инициируя отображение PDF-файла-приманки «Списки на уточнение вс представляемых к награждению гос награды.pdf» и CMD-скрипта, запускающего цепочку вредоносных действий.
Первым запускается файл crawl.cmd, который извлекает содержимое из ранее распакованного защищенного паролем архива и передает управление скрипту kingdom.bat. Этот скрипт создает конфигурационный файл ultravnc.ini для UltraVNC, в котором заранее задан пароль, включен перенос файлов, разрешено управление удаленным входом и отключен запрос на подключение. Затем вызывается mosque.bat, который завершает уже запущенные процессы UltraVNC, проверяет связь с C2 stroikom-vl[.]ru, и запускает VNC-клиент под видом Sysgry.exe.
Файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой группировки, наряду с файлами, содержащими координаты различных военных объектов, и прочими документами.
17 апреля 2025 г. аналитики F6 был обнаружен еще один вредоносный исполняемый файл — undoubtedly.exe, загруженный на сервис VirusTotal. Этот файл также был приписан группе Core Werewolf и, вероятно, применялся при атаках на российские военные организации. Об этом свидетельствует извлечение дроппером PDF-документа «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf», содержащего в себе информацию военного характера.
Помимо PDF-файла, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате выполнялась проверка соединения с другим C2 — ubzor[.]ru, и запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.