Автоматизированные скрипты помогают хакерам обойти защитные системы.
Исследователи в области кибербезопасности из компании Morphisec Для просмотра ссылки Войдиили Зарегистрируйся вредоносной активности группы Sticky Werewolf («Липкий оборотень»), связанной с кибератаками на предприятия в России и Беларуси.
Выявленные ранее атаки были нацелены на неназванную фармацевтическую компанию и российский исследовательский институт микробиологии и разработки вакцин. Теперь же основной удар на себя принял российский авиационный сектор.
«В предыдущих кампаниях Sticky Werewolf цепочка заражения начиналась с фишинговых писем, содержащих ссылку для скачивания вредоносного файла с таких платформ, как gofile.io», — рассказал исследователь безопасности Арнольд Осипов. «В последней кампании использовались архивные файлы с LNK-файлами, ведущими на полезную нагрузку, хранящуюся на WebDAV-серверах».
Sticky Werewolf — одна из многих групп, нацеленных на Россию и Беларусь, наряду с Cloud Werewolf, Quartz Wolf, Red Wolf и Scaly Wolf. Впервые группу Для просмотра ссылки Войдиили Зарегистрируйся исследователи компании BI.ZONE в октябре 2023 года. Считается, что Sticky Werewolf активна как минимум с апреля 2023 года.
Новая цепочка атак, наблюдаемая Morphisec, включает использование вложений RAR-архивов, которые при извлечении содержат два LNK-файла и отвлекающий PDF-документ.
Само письмо написано от имени АО «ОКБ Кристалл» — реальной существующей российской компании, специализирующейся на разработке и производстве микроэлектронных компонентов и систем, задействованных в самых разных отраслях российской промышленности.
Получателям письма предлагалось загрузить архив и запустить LNK-файлы в нём для получения повестки дня «предстоящей видеоконференции». Открытие любого из LNK-файлов запускает исполняемый файл, размещённый на WebDAV-сервере, что приводит к выполнению обфусцированного скрипта Windows.
Этот скрипт затем запускает AutoIt -скрипт, который в конечном итоге внедряет финальную полезную нагрузку, обходя при этом программное обеспечение безопасности и избегая попыток анализа.
«Данный исполняемый файл — это самораспаковывающийся архив NSIS, который является частью ранее известного криптора CypherIT», — отметил Осипов. «Хотя оригинальный CypherIT больше не продаётся, текущий исполняемый файл — это его вариация, распространяемая сразу на нескольких хакерских форумах».
Цель данной кампании — доставить на устройства в целевых компаниях трояны удалённого доступа (RAT) и похитители информации, например, Rhadamanthys и Ozone RAT, тем самым скомпрометировав предприятия критически важных отраслей.
Изощренные попытки «Липкого оборотня» атаковать российскую авиапромышленность — чёткий сигнал о необходимости усилить кибербезопасность критической инфраструктуры. Хакерские группировки постоянно совершенствуют свои методы, поэтому своевременное внедрение ответных защитных мер является задачей первостепенной важности.
Исследователи в области кибербезопасности из компании Morphisec Для просмотра ссылки Войди
Выявленные ранее атаки были нацелены на неназванную фармацевтическую компанию и российский исследовательский институт микробиологии и разработки вакцин. Теперь же основной удар на себя принял российский авиационный сектор.
«В предыдущих кампаниях Sticky Werewolf цепочка заражения начиналась с фишинговых писем, содержащих ссылку для скачивания вредоносного файла с таких платформ, как gofile.io», — рассказал исследователь безопасности Арнольд Осипов. «В последней кампании использовались архивные файлы с LNK-файлами, ведущими на полезную нагрузку, хранящуюся на WebDAV-серверах».
Sticky Werewolf — одна из многих групп, нацеленных на Россию и Беларусь, наряду с Cloud Werewolf, Quartz Wolf, Red Wolf и Scaly Wolf. Впервые группу Для просмотра ссылки Войди
Новая цепочка атак, наблюдаемая Morphisec, включает использование вложений RAR-архивов, которые при извлечении содержат два LNK-файла и отвлекающий PDF-документ.
Само письмо написано от имени АО «ОКБ Кристалл» — реальной существующей российской компании, специализирующейся на разработке и производстве микроэлектронных компонентов и систем, задействованных в самых разных отраслях российской промышленности.
Получателям письма предлагалось загрузить архив и запустить LNK-файлы в нём для получения повестки дня «предстоящей видеоконференции». Открытие любого из LNK-файлов запускает исполняемый файл, размещённый на WebDAV-сервере, что приводит к выполнению обфусцированного скрипта Windows.
Этот скрипт затем запускает AutoIt -скрипт, который в конечном итоге внедряет финальную полезную нагрузку, обходя при этом программное обеспечение безопасности и избегая попыток анализа.
«Данный исполняемый файл — это самораспаковывающийся архив NSIS, который является частью ранее известного криптора CypherIT», — отметил Осипов. «Хотя оригинальный CypherIT больше не продаётся, текущий исполняемый файл — это его вариация, распространяемая сразу на нескольких хакерских форумах».
Цель данной кампании — доставить на устройства в целевых компаниях трояны удалённого доступа (RAT) и похитители информации, например, Rhadamanthys и Ozone RAT, тем самым скомпрометировав предприятия критически важных отраслей.
Изощренные попытки «Липкого оборотня» атаковать российскую авиапромышленность — чёткий сигнал о необходимости усилить кибербезопасность критической инфраструктуры. Хакерские группировки постоянно совершенствуют свои методы, поэтому своевременное внедрение ответных защитных мер является задачей первостепенной важности.
- Источник новости
- www.securitylab.ru