Cavalry Werewolf: фишинг и FoalShell/StallionRAT против критической инфраструктуры

С мая по август 2025 года группа, действующая под прозвищами Cavalry Werewolf, YoroTrooper и Silent Lynx, провела целенаправленную кампанию против российских организаций: государственных учреждений, энергетического сектора, горнодобывающей и обрабатывающей промышленности. Отчет по инцидентам фиксирует системный характер атак и использование сложного набора тактик для обхода средств защиты и получения удаленного контроля над системами жертв.

Кто стоит за атакой и какие были цели

Операторы применяли убедительные техники целевого фишинга, выдавая себя за должностных лиц правительства Кыргызстана. Для доставки вредоносного ПО использовались как поддельные адреса эл. почты, так и потенциально скомпрометированные законные учетные записи, что приводило к смешению легитимной переписки и фишинговых сообщений.

«Используют методы убедительного Целевого фишинга для получения первоначального доступа, часто выдавая себя за должностных лиц правительства Кыргызстана.»

Методы начального доступа

• Целевой фишинг с персонализированными письмами;
• Использование поддельных email-адресов и потенциально скомпрометированных легитимных аккаунтов;
• Социальная инженерия для повышения доверия получателя и увеличения вероятности выполнения вложений или перехода по ссылкам.

Основной инструментарий злоумышленников

В кампании ключевую роль играли два семейства вредоносного ПО — FoalShell и StallionRAT. Оба компонента ориентированы на получение удаленного доступа и эксфильтрацию данных, но реализуют разные механизмы C2 и способы сокрытия присутствия.

FoalShell — облегченная обратная оболочка

FoalShell — это облегченная обратная оболочка, предназначенная для предоставления злоумышленникам доступа к командной строке через cmd.exe. Она реализована в нескольких языковых вариантах, каждый из которых использует собственные техники для устойчивого соединения с инфраструктурой C2 и сокрытия активности:

• C#-вариант: реализует непрерывный цикл опроса сервера C2 для выполнения команд. Отмечено подключение к IP 188.127.225.191 на порту 443.
• C++-вариант: использует загрузчик шеллкода, внедряя запутанный shellcode в ресурсы исполняемого файла — техника, направленная на усложнение детектирования статическими и поведенческими средствами защиты.
• Go-реализация: устанавливает соединение с другим IP — 62.113.114.209 на порту 443 — и запускает процессы в скрытом окне, чтобы минимизировать видимые артефакты работы вредоносного ПО.

StallionRAT — RAT с использованием Telegram как C2

StallionRAT — троян удаленного доступа, взаимодействующий с операторами через Telegram-бота, который выполняет роль C2. Такой подход упрощает командование и контроль, затрудняя корреляцию трафика с традиционными C2-серверами. StallionRAT позволяет удаленно выполнять команды, управлять файлами и извлекать конфиденциальные данные.

• Использует несколько языков в инструментарии: Go, PowerShell, Python;
• В одной зафиксированной атаке использовался C++-лаунчер, который исполнял команды PowerShell, закодированные в Base64 — тактика, направленная на обход детектирования механизмами, отслеживающими ввод «простых» команд;
• Telegram-бот выступает в роли гибкого и устойчивого канала C2, затрудняющего традиционный сетевой мониторинг.

Индикаторы компрометации (IOCs)

• Малварь: FoalShell, StallionRAT;
• IP-адреса C2: 188.127.225.191:443, 62.113.114.209:443;
• Поведение: вызовы cmd.exe, запуск процессов в скрытом окне, загрузчики shellcode в ресурсах исполняемых файлов;
• Техники уклонения: Base64-encoded PowerShell commands, использование легитимных/поддельных email-аккаунтов, Telegram-боты как C2.

Последствия и рекомендации

Атаки такого рода представляют серьезную угрозу для критически важных инфраструктур из-за сочетания целевого фишинга, использования легитимных сервисов для управления (Telegram) и сложных техник сокрытия. Рекомендации для организаций, находящихся в зоне риска:

• Усилить контроль электронной почты: фильтрация по SPF/DKIM/DMARC, проверка подозрительных отправителей и вложений;
• Обязательное применение многофакторной аутентификации (MFA) и мониторинг привилегированных аккаунтов;
• Блокировка и мониторинг соединений с указанными IP-адресами на уровне периметра, а также анализ сетевого трафика на предмет нестандартных соединений через порт 443;
• Настроить EDR/NGAV на выявление запусков PowerShell с Base64-параметрами, а также аномальных вызовов cmd.exe и запуска процессов в скрытом окне;
• Проверить и ограничить использование мессенджеров и ботов для выполнения автоматизированных задач, особенно для администрирования;
• Провести расследование потенциальных компрометаций учетных записей и внедрить регулярный аудит прав доступа.

Детальное понимание тактик, используемых Cavalry Werewolf, позволяет точнее настроить защиту и снизить риск успешных атак. Организациям необходимо комбинировать технические меры с повышением осведомленности сотрудников о целевом фишинге и социальной инженерии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.