СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.11.2025
#Dev#ИБ#Инфра

Cavalry Werewolf: фишинг и Backdoor.ShellNET.1 против правительственных учреждений

В июле 2025 года российские государственные учреждения стали целью целенаправленной кибератаки, которую аналитики приписывают группе Cavalry Werewolf. Инцидент выявил системную попытку сбора конфиденциальной информации и подробной разведки сетевой инфраструктуры через компрометацию корпоративных почтовых ящиков и дальнейшее распространение вредоносного ПО.

Как начался инцидент

Первым сигналом стала жалоба клиента из государственного сектора: с корпоративного почтового ящика начали уходить нежелательные письма. Расследование, проведённое компанией «Доктор Веб», показало, что злоумышленники получили первоначальный доступ посредством фишинговых электронных писем, в которых содержались вредоносные вложения, замаскированные под документы.

«Злоумышленники стремились собрать конфиденциальную информацию и подробные данные о конфигурации сети», — отмечают исследователи «Доктор Веб».

Использованные вредоносные инструменты

В ходе атаки злоумышленники внедрили бэкдор Backdoor.ShellNET.1, основанный на open‑source проекте Reverse-Shell-CS. Это ПО предоставляло возможность удалённого подключения к заражённым машинам через обратную оболочку (reverse shell) и исполнения произвольных команд.

Типичный вектор распространения — архивы, защищённые паролем; имена файлов варьировались в зависимости от конкретной рассылки. После первоначального заражения группа последовательно устанавливала дополнительные модули вредоносного ПО, укрепляя своё присутствие в сети и расширяя набор используемых возможностей.

Тактика и техники — соответствие MITRE ATT&CK

Методика действий Cavalry Werewolf демонстрирует модульный и адаптивный подход, согласующийся с рядом техник из фреймворка MITRE ATT&CK. К ключевым наблюдаемым техникам относятся:

  • Первоначальный доступ: целенаправленный фишинг — T1566.001;
  • Выполнение с участием пользователя — T1204;
  • Исполнение через PowerShell — T1059.001 и через Windows Command Shell — T1059.003;
  • Устойчивость за счёт изменений в ключах автозапуска реестра — T1547.001;
  • Использование службы BITS для фоновых задач и обхода — T1197;
  • Управление через External Proxy — T1090.002 и поддержание двусторонней связи — T1102.002;
  • Эксфильтрация через каналы управления — T1041 и через Web Services — T1567.

Поведение злоумышленников и цель атак

Аналитики отмечают системный характер операций: на первом этапе — разнообразные фишинговые рассылки и доставка разных семейств вредоносного ПО; на последующих — установка дополнительных компонентов для закрепления и расширения функционала похищения данных. Основная цель — сбор конфиденциальной информации и получение детальной картины сетевой конфигурации, что позволяет злоумышленникам планировать дальнейшие шаги.

Последствия и оценка угрозы

Комбинация целевого фишинга, использования обратных оболочек и методов закрепления даёт злоумышленникам возможность долгое время поддерживать доступ и скрытно извлекать данные. Это особенно опасно для учреждений государственного сектора, где компрометация аккаунтов и утечка конфиденциальной информации могут иметь стратегические последствия.

Рекомендации по защите

Чтобы снизить риски подобных кампаний, экспертам по безопасности и администраторам целесообразно обратить внимание на следующие меры:

  • Усилить контроль входящей почты: фильтрация вложений, запрет запуска макросов и вступительных скриптов, блокировка архивов с паролями или тщательная их проверка;
  • Внедрить многофакторную аутентификацию для всех корпоративных аккаунтов и особенно для учётных записей с повышенными привилегиями;
  • Ограничить использование PowerShell и командных оболочек, применяя политика выполнения и мониторинг командной активности;
  • Контролировать и мониторить изменения автозагрузок в реестре и планировщиках задач, а также логи BITS‑задач;
  • Обнаруживать и блокировать домены/прокси, используемые для C2‑каналов, и мониторить нехарактерный сетевой трафик;
  • Организовать регулярные учения по фишингу для сотрудников и повышать осведомлённость о социальной инженерии;
  • Вести постоянный мониторинг и быстрый инцидент‑ответ с возможностью изоляции скомпрометированных хостов.

Вывод

Случай июля 2025 года подчёркивает, что современные киберугрозы постепенно становятся всё более адаптивными и модульными. Группа Cavalry Werewolf демонстрирует методичный подход к компрометации, закреплению и извлечению ценной информации. Государственным организациям следует принимать комплексные меры защиты, сочетая профилактику, мониторинг и оперативное реагирование, чтобы снизить вероятность успешных атак и минимизировать последствия компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: