Clubfoot Wolf атакует российские компании через фишинг и LNK
В мае и июне 2026 года российские компании, работающие в секторе оптовой торговли химической продукцией, столкнулись с целенаправленной волной атак, за которой стоит группа Clubfoot Wolf. Злоумышленники использовали изощрённые методы социальной инженерии и технически сложную цепочку заражения, чтобы скрытно доставить и закрепить инструмент удалённого доступа.
Фишинг с masquerading as employees
Атака начинается с тщательно подготовленного фишингового письма. Отправители выдают себя за реальных сотрудников, заинтересованных в приобретении продукции целевой организации. Письма оформлены как рутинные запросы коммерческих предложений или счетов, что снижает порог подозрительности получателя.
К сообщению прикреплён ZIP-архив. Внутри него находится malicious LNK-файл и несколько decoy files — документов-приманок, призванных убедить жертву в легитимности вложения и побудить открыть его.
Механизм доставки NetSupport Manager
Главной полезной нагрузкой группы выступает легитимное программное обеспечение для удалённого администрирования NetSupport Manager. Однако способ его доставки практически не оставляет следов на диске.
- LNK-файл выполняет Base64-encoded PowerShell command, которая закодирована и зашифрована по алгоритму AES-128-CBC.
- Скрипт расшифровывается и исполняется прямо в памяти системы — классическая fileless attack, не создающая обнаруживаемых артефактов на жёстком диске.
- Расшифрованный PowerShell-сценарий загружает с удалённого сервера дополнительное вредоносное содержимое, фактически не сохраняя файлы на диск.
После дешифровки скрипт начинает этап закрепления и подготовки среды.
Закрепление и маскировка
PowerShell-сценарий выполняет сразу несколько действий, направленных на долговременное присутствие в скомпрометированной системе:
- Создаёт decoy file в папке «Документы» пользователя — отвлекающий манёвр, маскирующий вредоносную активность.
- По ссылке с Yandex Disk загружает ZIP-архив, содержащий исполняемые файлы и компоненты NetSupport Manager.
- Монтирует полученный архив и беззвучно копирует его содержимое в назначенную директорию.
- Регистрирует клиент NetSupport Manager в системном ключе Run реестра, обеспечивая автоматический запуск при каждой загрузке ОС.
В ряде случаев наблюдалась ошибка в имени исполняемого файла — некоторые версии вредоноса некорректно добавляли дублирующее расширение, например, .exe.exe. Это дополнительный индикатор, который могут использовать защитники.
Сам ZIP-архив содержит файлы с бессмысленным содержимым — ещё один слой камуфляжа, призванный замаскировать истинное назначение передаваемых данных и запутать автоматические средства анализа.
Эволюция тактик
Clubfoot Wolf демонстрирует постоянное стремление изменять методы заражения и доставки. В ходе кампании зафиксировано активное применение URL shortening services для сокрытия ссылок, ведущих к полезной нагрузке. Это усложняет обнаружение на уровне почтовых шлюзов и систем анализа трафика, позволяя группе оставаться на шаг впереди защитных механизмов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



