Просчитались, но где? Атаки Scaly Wolf провалились из‑за грубой ошибки
Эти злоумышленники уже известны по неоднократным атакам на организации России и Беларуси. Вновь группировка активизировалась в конце марта 2024 года: провела с разных email-адресов не менее шести фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и так далее.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP‑архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
explorer.exe
— «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе.
В ходе неудавшейся кампании Scaly Wolf использовала последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950.
Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации нашего исследования о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.
Чтобы выявить методы закрепления на конечных точках IT‑инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response, например BI.ZONE EDR. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляет платформа BI.ZONE Threat Intelligence.