Исследователи Morphisec сообщают о расширении целей Sticky Wer | SecAtor
Исследователи Morphisec сообщают о расширении целей Sticky Werewolf для атак в России и Беларуси.
Впервые активная как минимум с апреля 2023 года Sticky Werewolf была профилирована BI.ZONE в октябре 2023 года.
Известна тем, что таргетируется на Россию и Беларусь, отслеживается также как Cloud Werewolf (Inception и Cloud Atlas), Quartz Wolf, Red Wolf (он же RedCurl) и Scaly Wolf.
Новые замеченные фишинговые атаки были нацелены на фармацевтическую компанию, НИИ в области микробиологии и разработки вакцин, а также на авиационный сектор, выйдя за рамки более ранних устремлений к госсектор.
Причем в предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io.
Кульминацией было развертывание трояна удаленного доступа NetWire RAT, инфраструктура которого была отключена в начале прошлого года в результате силовой операции.
В недавней кампании использовались архивы RAR, два файла LNK и ложный PDF-документ. Последний включал якобы приглашение на видеоконференцию, а для получения повестки необходимо было нажать на LNK.
Открытие любого из файлов LNK приводило к выполнению двоичного файла, размещенного на сервере WebDAV и запуску пакетного сценария Windows.
Скрипт, в свою очередь, предназначен для выполнения сценария AutoIt, который в конечном итоге внедряет окончательную полезную нагрузку, в то же время минуя защитное ПО и попытки анализа.
Исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного шифровальщика CypherIT.
При этом оригинальный шифровальщик больше не реализуется, а задетектированный является его модификацией.
Конечная цель кампании - распространение универсальных RAT и вредоносных ПО для кражи информации, включая Rhadamanthys и Ozone RAT.
Ресерчеры отмечают, что несмотря на отсутствие достоверных данных, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст и виктимология указывают на возможные связи с проукраинской APT или хактивистами.