Прозападные кибершпионы атакуют компании через Telegram

Кибергруппа Core Werewolf с сентября этого года начала использовать новый инструмент собственной разработки – загрузчик с RAR-архивами. Помимо фишинговых писем в компании, они начали рассылать в телеграмм-каналы сотрудникам предприятий. Группа специализируется на атаках по российским компаниям, относящимся к критической информационной инфраструктуре.

Хакерская группировка Core Werewolf атакует российские субъекты критической информационной инфраструктуры как минимум с августа 2021 года. Около месяца назад злоумышленники стали использовать для атак новый загрузчик собственной разработки, написанный на популярном языке программирования Autolt. Об этом рассказали PRO Шеринг в компании по информбезопасности BI.ZONE.

«Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы», – пояснил стратегию хакеров руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся архивы (SFX). Каждый из них содержал вредоносный скрипт, необходимый для его исполнения легитимный интерпретатор, а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть «документы», содержимое SFX-файла извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, который устанавливал вредоносное ПО на скомпрометированное устройство.

С июня этого года группировка также стала экспериментировать со способами доставки вредоносных файлов. Предполагаемым жертвам писали не только по почте, но и в мессенджерах, чаще всего в Telegram.

Фото: AI Art