Silent Werewolf: сложные методы обфускации в кибератаках

Хакер Silent Werewolf использует передовые методы обфускации в атаках на российские и молдавские организации

Группа хакеров Silent Werewolf продолжает развивать свои техники и применять сложные методы для обхода систем защиты. Их атаки нацелены в первую очередь на организации в России и Молдове и базируются на использовании фишинговых электронных писем, которые маскируются под сообщения от авторитетных учреждений. Это позволяет злоумышленникам завоевать доверие потенциальных жертв и повысить эффективность атак.

Методология атак Silent Werewolf

Одной из основных методик Silent Werewolf является доставка вредоносного ZIP-файла, содержащего ключевой файл LNK. Этот файл становится катализатором для извлечения и активации многочисленных слоев вредоносного ПО, спрятанных во вложенных ZIP-архивах. Такая многоступенчатая структура значительно затрудняет анализ и обнаружение угрозы.

• Вредоносная полезная нагрузка включает ложный PDF-файл и легитимный исполняемый файл DeviceMetadataWizard.exe, запускающийся параллельно с вредоносным компонентом.
• Сетевой загрузчик, известный как d3d9.dll, отвечает за загрузку окончательной версии вредоносного ПО в каталог %APPDATA%74EJ6RTFKKRS и его исполнение.
• При запуске загрузчик проверяет аргументы: с параметром /startup запускается вредоносная нагрузка, без аргументов же появляется поддельный PDF-файл — хитрый способ обхода подозрений.

Автоматизация и скрытность атак

Для обеспечения постоянного присутствия на взломанных системах злоумышленники создают в системной папке автозагрузки пакетный скрипт startapp.bat, который гарантирует автоматический запуск вредоносного приложения H5GDXM70NJ.exe при загрузке компьютера.

Кроме того, вредоносная программа использует асинхронные задачи, что позволяет одновременно выполнять несколько операций:

• рекурсивный поиск дополнительных ZIP-архивов;
• извлечение их содержимого во временные папки с помощью PowerShell;
• параллельная обработка данных для повышения скорости и снижения вероятности обнаружения.

Сложная конфигурация и защита от обнаружения

Файл конфигурации config.bin, применяемый в кампаниях Silent Werewolf, содержит команды командной строки CMD и зашифрованные инструкции. Это позволяет злоумышленникам автоматически выполнять различные действия, минимизируя вероятность обнаружения со стороны систем защиты.

Особое внимание заслуживает структура config.bin, в которую входят как легитимные библиотеки DLL, так и вредоносный DLL-загрузчик. Интересной особенностью является динамическое изменение имени вредоносного DLL-файла при каждом новом развертывании, что затрудняет создание универсальных сигнатур для антивирусов.

Аналитика и выводы

Подход Silent Werewolf демонстрирует заметную тенденцию современной киберпреступности — использование сложной иерархической структуры, методов уклонения (obfuscation) и легитимных программных компонентов для повышения эффективности атак и снижения риска обнаружения.

Постоянное развитие и адаптация этих методик подтверждают сохраняющуюся опасность для целевых организаций. В то же время ситуация подчеркивает критическую необходимость создания и поддержки надежных систем обнаружения и реагирования в корпоративной кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.