Хакеры перешли на разработку собственного вредоносного ПО
Чтобы атаки на военно-промышленный комплекс РФ сложнее было распознать, киберпреступники из группировки Mysterious Werewolf стали использовать для удаленного доступа вредоносную программу собственной разработки.
Хакерская группировка Mysterious Werewolf активна как минимум с 2023 года. За это время она не менее трех раз инициировала атаки на предприятия российского ВПК, рассказали PRO Шеринг в компании по информбезопасности BI.ZONE. Ранее хакеры применяли легитимный инструмент с открытым исходным кодом.
Чтобы проникнуть в инфраструктуру, злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023-38831. Преступники рассылали от имени государственных регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал «официальное письмо», WinRAR автоматически должен был исполнить вредоносный файл.
На устройство жертвы устанавливался оригинальный бэкдор RingSpy — программа для удаленного доступа, которая позволяет злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать с него файлы. Для управления бэкдором используется бот в Telegram.
В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic – легитимный инструмент для тестирования на проникновение, пояснил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре.
Обнаружить атаку на ранней стадии и не допустить ее развития помогут выстроенные процессы мониторинга и реагирования на инциденты кибербезопасности. А своевременно узнавать о новых методах атак активных кибергруппировок и усиливать защиту компании позволят платформы threat intelligence.
Фото: Adobe Stock
