Изощренные кибератаки Silent Werewolf на Россию и Молдову

Недавний отчет раскрывает детали серии сложных и многокомпонентных кибератак, которые связывают с хакерской группой Silent Werewolf. Основная цель злоумышленников — организации в России и Молдове. Их методы демонстрируют высокий уровень технической подготовки и использование многоступенчатого механизма доставки вредоносного ПО, что позволяет успешно скрывать следы своей деятельности и обходить системы безопасности.

Многоступенчатый механизм атаки: от фишинга до внедрения вредоносного кода

Первый этап атаки стартует с фишинговых рассылок, маскирующихся под письма от авторитетных организаций. Злоумышленники присылают сообщения с вложениями в виде ZIP-архивов, внутри которых скрывается дополнительный вредоносный контент. Механизм заражения предполагает следующий порядок действий:

• В ZIP-архиве содержится файл .LNK, который при запуске извлекает следующий ZIP-архив и инициирует следующий этап атаки.
• Внутри вложенных архивов находится файл конфигурации с расширением .ini, который маскирует легальный исполняемый файл, отвлекающий PDF-документ и вредоносный файл.

Ключевым элементом атаки является сетевой загрузчик в формате DLL, реализующий загрузку и активацию вредоносного ПО в системе жертвы.

Особенности работы сетевого загрузчика

Когда DLL запускается, она проверяет переданные аргументы командной строки:

• Если указан аргумент /startup, загрузчик запускает вредоносную полезную нагрузку, расположенную в папке %APPDATA% с именем 74EJ6RTFKKRSyfutozlv.exe.
• При запуске без аргументов загрузчик копирует и открывает отвлекающий PDF-документ из директории «Документы пользователя».

Кроме того, загрузчик создает асинхронную задачу, которая загружает дополнительное вредоносное ПО с URL, прописанного в конфигурационном файле. Для маскировки трафика злоумышленники используют строку user-agent, имитирующую легитимный браузерный запрос, что существенно затрудняет выявление атаки.

Полученный ответ приходит в кодировке Base64 и затем расшифровывается с использованием уникального XOR-ключа перед запуском в %APPDATA% под тем же каталогом 74EJ6RTFKKRS.

Обеспечение устойчивости и уклонение от обнаружения

Для сохранения устойчивости вредоносного ПО в системе создается сценарий автозапуска, запускающий экзешник при старте операционной системы. Отчет также выделяет следующий особо изощренный элемент методов атаки Silent Werewolf:

• Использование легитимных программных компонентов — например, известных исполняемых файлов Microsoft вроде DeviceMetadataWizard.exe — для сторонней загрузки DLL, что минимизирует подозрения и помогает обходить системы безопасности.
• Скрытие вредоносного кода с помощью различных методов кодирования, затрудняющих анализ и реверс-инжиниринг.
• Динамическая смена названий исполняемых файлов и библиотек, разнообразие вредоносных загрузчиков.
• Применение пользовательского загрузчика на C#, который обрабатывает команды из конфигурационных файлов, что значительно усложняет анализ и выявление очередных версий вредоносных компонентов.

Заключение

Группа Silent Werewolf демонстрирует высокий уровень профессионализма, используя продвинутые методы скрытности и координации атак. Многоступенчатый механизм доставки, маскировка под легитимные процессы и постоянное изменение инфраструктуры создают серьезные вызовы для систем информационной безопасности организаций в зоне риска.

Этот отчет напоминает о необходимости комплексного подхода к защите, включающего не только технические средства, но и обучение сотрудников правилам безопасности, особенно в отношении фишинговых рассылок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.