Злоумышленник Sticky Werewolf атакует новые цели в России и Белоруссии

Исследователи кибербезопасности раскрыли подробности о злоумышленнике, известном как Sticky Werewolf, который атаковал организации в России и Белоруссии.
Злоумышленник Sticky Werewolf атакует новые цели в России и Белоруссии

Злоумышленник Sticky Werewolf атакует новые цели в России и Белоруссии

Фишинговые атаки были направлены на фармацевтическую компанию, российский научно-исследовательский институт, занимающийся микробиологией и разработкой вакцин, а также на авиационный сектор. Изначально, злоумышленник проявлял интерес исключительно к правительственным организациям.

Об этом сообщили исследователи компании Morphisec.

Из сообщения исследователей безопасности:

«В предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io. В этой последней кампании использовались архивные файлы, содержащие файлы LNK, указывающие на полезную нагрузку, хранящуюся на серверах WebDAV.»

В предыдущих задокументированных атаках использовались фишинговые электронные письма со ссылками на вредоносные полезные данные. Результатом неосторожного открытия становилось развертывание трояна удаленного доступа NetWire (RAT), инфраструктура которого была отключена в начале прошлого года в результате операции правоохранительных органов.

Новая цепочка атак, наблюдаемая Morphisec, включает использование вложения архива RAR, которое при извлечении содержит два файла LNK и ложный PDF-документ. Последний маскируется под приглашение на видеоконференцию и призывает получателей нажать на LNK-файлы, чтобы получить повестку дня собрания и список рассылки по электронной почте.

Открытие любого из файлов LNK запускает выполнение двоичного файла, размещенного на сервере WebDAV, что приводит к запуску запутанного пакетного сценария Windows. Скрипт, в свою очередь, предназначен для запуска сценария AutoIt, который в конечном итоге внедряет окончательную полезную нагрузку, в то же время минуя защитное программное обеспечение и попытки анализа.

Этот исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного шифровальщика CypherIT. Хотя оригинальный шифровальщик CypherIT больше не продается, текущий исполняемый файл является его вариантом, как было замечено на нескольких хакерских форумах, утверждают исследователи.

Конечная цель кампании — распространение обычных RAT и вредоносных программ для кражи информации, таких как Rhadamanthys и Ozone RAT.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Больше интересного

Актуальное

Microsoft приостановила тестирование новой версии Windows 11 из-за неназванных неполадок
В Аспро.Cloud внедрили новый модуль «Бизнес-процессы»‎
В LastPass раскрыли причины недавнего глобального сбоя
Ещё…