Clubfoot Wolf атакует российские компании через фишинг и LNK

В мае и июне 2026 года российские компании, работающие в секторе оптовой торговли химической продукцией, столкнулись с целенаправленной волной атак, за которой стоит группа Clubfoot Wolf. Злоумышленники использовали изощрённые методы социальной инженерии и технически сложную цепочку заражения, чтобы скрытно доставить и закрепить инструмент удалённого доступа.

Фишинг с masquerading as employees

Атака начинается с тщательно подготовленного фишингового письма. Отправители выдают себя за реальных сотрудников, заинтересованных в приобретении продукции целевой организации. Письма оформлены как рутинные запросы коммерческих предложений или счетов, что снижает порог подозрительности получателя.

К сообщению прикреплён ZIP-архив. Внутри него находится malicious LNK-файл и несколько decoy files — документов-приманок, призванных убедить жертву в легитимности вложения и побудить открыть его.

Механизм доставки NetSupport Manager

Главной полезной нагрузкой группы выступает легитимное программное обеспечение для удалённого администрирования NetSupport Manager. Однако способ его доставки практически не оставляет следов на диске.

  • LNK-файл выполняет Base64-encoded PowerShell command, которая закодирована и зашифрована по алгоритму AES-128-CBC.
  • Скрипт расшифровывается и исполняется прямо в памяти системы — классическая fileless attack, не создающая обнаруживаемых артефактов на жёстком диске.
  • Расшифрованный PowerShell-сценарий загружает с удалённого сервера дополнительное вредоносное содержимое, фактически не сохраняя файлы на диск.

После дешифровки скрипт начинает этап закрепления и подготовки среды.

Закрепление и маскировка

PowerShell-сценарий выполняет сразу несколько действий, направленных на долговременное присутствие в скомпрометированной системе:

  • Создаёт decoy file в папке «Документы» пользователя — отвлекающий манёвр, маскирующий вредоносную активность.
  • По ссылке с Yandex Disk загружает ZIP-архив, содержащий исполняемые файлы и компоненты NetSupport Manager.
  • Монтирует полученный архив и беззвучно копирует его содержимое в назначенную директорию.
  • Регистрирует клиент NetSupport Manager в системном ключе Run реестра, обеспечивая автоматический запуск при каждой загрузке ОС.

В ряде случаев наблюдалась ошибка в имени исполняемого файла — некоторые версии вредоноса некорректно добавляли дублирующее расширение, например, .exe.exe. Это дополнительный индикатор, который могут использовать защитники.

Сам ZIP-архив содержит файлы с бессмысленным содержимым — ещё один слой камуфляжа, призванный замаскировать истинное назначение передаваемых данных и запутать автоматические средства анализа.

Эволюция тактик

Clubfoot Wolf демонстрирует постоянное стремление изменять методы заражения и доставки. В ходе кампании зафиксировано активное применение URL shortening services для сокрытия ссылок, ведущих к полезной нагрузке. Это усложняет обнаружение на уровне почтовых шлюзов и систем анализа трафика, позволяя группе оставаться на шаг впереди защитных механизмов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: