СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ#Инфра

Группа Werewolf: угроза кибершпионажа для военных объектов

Группа Werewolf: угроза кибершпионажа для военных объектов

Источник: habr.com

Основная группа кибершпионажа Werewolf активно действует с августа 2021 года, нацеливаясь на военные организации в Беларуси и России. Особенно под угрозой находятся структуры, связанные с обороной, промышленностью и критически важной инфраструктурой.

Недавние находки специалистов F6

Специалисты F6 обеспокоены продолжающейся вредоносной деятельностью группы. 2 мая 2025 года были обнаружены новые доказательства кибератак, в ходе которых с электронного адреса Al.gurskj@mail.ru было отправлено письмо, содержащее защищённый паролем архив под названием Lists_NA_NAGR.7Z.

Архив содержал дроппер, названный «Списки для разъяснения Sun, представленные к государственной награде Awards.exe». При запуске дроппер распаковывает свое содержимое во временную директорию, одновременно отображая на вид безобидный PDF-документ. Это приводит к следующему:

  • Запуск CMD-скрипта CRAWL.CMD, который извлекает файлы из защищенного архива.
  • Передача управления другому скрипту Kingdom.bat.
  • Создание файла конфигурации для UltraVNC и настройка параметров для удаленного доступа.
  • Установление соединений с сервером управления (C2) по адресу Stroikom-VL.ru.

После настройки скрипт запускает клиент VNC, замаскированный под Sysgry.exe, предоставляя злоумышленникам постоянный удаленный доступ к скомпрометированной системе.

Анализ исполняемых файлов

Аналитики F6 также отметили другой исполняемый файл, известный как Undoubtedly.exe, который был проанализирован 17 апреля 2025 года после загрузки на сервис Virustotal. Этот файл связан с Core Werewolf и, как предполагается, использовался для атак на российские военные объекты.

Выполнение дроппера привело к извлечению PDF-документа, содержащего конфиденциальную военную информацию, и запустило сложную цепочку сценариев, аналогичных предыдущим атакам. В процессе использовались дополнительные файлы, такие как Exception.bat и Divine.bat, которые позволили подключиться к другому серверу C2, ubzor.ru, и снова развернули исполняемый файл UltraVNC для удаленного управления.

Выводы и последствия

Такой индивидуальный подход, включающий привычные соглашения об именовании файлов и манипуляции с распространённым программным обеспечением VNC для уклонения от ответственности, подчеркивает высокую квалификацию группы. Передовые возможности группы Werewolf в области кибершпионажа направлены на сбор конфиденциальных военных данных и обеспечение скрытого доступа к целевым сетям, что представляет собой серьезную угрозу для национальной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: