Mysterious Werewolf атакует российский ВПК собственными инструментами

Злоумышленники стали использовать вредоносную программу своей разработки вместо ранее применяемого легитимного ПО с открытым исходным кодом. Из‑за этого атаки сложнее распознать

27 февраля 2024 г.

Группировка Mysterious Werewolf активна как минимум с 2023 года. За это время она не менее трех раз атаковала предприятия российского ВПК.

Чтобы проникнуть в инфраструктуру, злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE‑2023‑38831. Преступники рассылали от имени регуляторов письма с архивом. К каждому письму прилагался архив, в котором находились отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал «официальное письмо», WinRAR автоматически должен был исполнить вредоносный файл.

На устройство жертвы устанавливался оригинальный бэкдор RingSpy — программа для удаленного доступа, которая позволяет злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать с него файлы. Для управления бэкдором используется бот в Telegram.

В ноябре 2023 года группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение.

Сейчас Mysterious Werewolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Обнаружить атаку на ранней стадии и не допустить ее развития поможет BI.ZONE TDR. А своевременно узнавать о новых методах атак активных кибергруппировок и усиливать защиту компании позволит платформа BI.ZONE Threat Intelligence.