Rare Werewolf атакует аэрокосмический сектор через фишинговые счета
Целевой фишинг Rare Werewolf: как атакуют аэрокосмическую отрасль России
Специалисты Seqrite Threat Research раскрыли новую кампанию целевого фишинга, направленную исключительно на российские предприятия авиакосмической промышленности. Злоумышленники маскируются под легитимные организации, рассылают поддельные счета и используют легальный софт для скрытого закрепления в инфраструктуре жертвы. По совокупности тактик и инструментов атака приписывается группировке Rare Werewolf, ранее замеченной в атаках на индустриальные секторы России, Беларуси и Казахстана.
Механика начальной компрометации
Атака стартует с тщательно подготовленного письма, имитирующего деловую переписку от имени Федерального бюджетного учреждения ВНИИР. В теле сообщения содержится вложенный архив «счет на оплату.rar», защищённый паролем. Этот приём заставляет сотрудника взаимодействовать с файлом осознанно, одновременно обходя автоматические сканеры почтовых шлюзов, не способных проанализировать запароленный объект.
После открытия архива срабатывает дроппер, упакованный с помощью коммерческого установщика Smart Install Maker. Он не только демонстрирует поддельный PDF-документ для отвлечения внимания, но и извлекает во временную директорию набор компонентов:
- Портативную версию AnyDesk — легитимного приложения для удалённого рабочего стола;
- Утилиту Blat — SMTP-клиент для отправки электронной почты из командной строки;
- Модифицированную сборку WinRAR;
- Конфигурационные файлы для связи с C2-сервером.
Скрытое закрепление через AnyDesk
Сразу после распаковки AnyDesk настраивается в неинтерактивном режиме: через командную строку задаётся заранее определённый пароль, что позволяет злоумышленникам подключаться к рабочему столу без ведома оператора. Вся конфигурационная информация, включая учётные данные и идентификатор сессии, эксфильтруется на электронную почту, контролируемую атакующими, с помощью Blat. Таким образом противник получает постоянный и автономный канал удалённого доступа, не требующий повторного взаимодействия с жертвой.
Тактика living-off-the-land и минимизация цифровых следов
Ключевая особенность кампании — опора на легитимное программное обеспечение, встроенное в бизнес-процессы многих организаций. Такой подход, известный как living-off-the-land, позволяет маскировать вредоносную активность под рутинные системные операции и существенно усложняет криминалистический анализ. Среди используемых приёмов:
- Удалённое управление через AnyDesk, не вызывающее подозрений у служб безопасности;
- Эксфильтрация данных по SMTP с помощью Blat, имитирующая обычную почтовую пересылку;
- Упаковка и модификация файлов посредством WinRAR;
- Отсутствие самописных вредоносных компонентов на этапе закрепления.
Аналитики подчёркивают, что зафиксированная активность носит системный, а не разовый характер. Различные образцы вредоносного кода демонстрируют устойчивую методологию, указывающую на долгосрочную оперативную стратегию Rare Werewolf. Группа регулярно обновляет тактический инструментарий, не отказываясь при этом от ядра своего подхода — максимальной скрытности и минимального вмешательства в систему.
«Эта тенденция подчеркивает важность бдительности и надежных мер безопасности перед лицом эволюционирующих тактик киберугроз», — резюмируют в Seqrite Threat Research.
Сложная цепочка компрометации, заточенная под конкретную отрасль, ещё раз подтверждает необходимость многоуровневой защиты и постоянного мониторинга аномальной сетевой активности даже для легитимных приложений.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



