F.A.C.C.T. found new attacks of pro-Ukrainian cyber spies Sticky Werewolf

habr.com · F.A.C.C.T. Information security · 1 year ago · research
quality 7/10 · good
0 net
Tags
cyber-spying pro-ukraine attacks
F.A.C.C.T. обнаружил новые атаки проукраинских кибершпионов Sticky Werewolf / Хабр Обновить 16K+ Охват за 30 дней F6 64,23 Рейтинг 46 558 Подписчики Подписаться EditorF6 15 янв 2025 в 08:46 F.A.C.C.T. обнаружил новые атаки проукраинских кибершпионов Sticky Werewolf Время на прочтение 3 мин Охват и читатели 6.4K Блог компании F6 Информационная безопасность * После новогодних праздников APT-группировка Sticky Werewolf пыталась атаковать российские научно-производственные предприятия. На этот раз кибершпионы отправляли фейковые фишинговые письма от имени Минпромторга России. Одно из таких фишинговых писем вечером 13 января перехватило и заблокировало решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR . Специалисты Центра кибербезопасности F.A.C.C.T. провели анализ рассылки. Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения, НИИ и промышленные предприятия из сферы военно-промышленного комплекса России. Отмечались также атаки в Беларуси и Польше. В ĸачестве первоначального веĸтора атаĸ группа использует фишинговые рассылĸи по элеĸтронной почте с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer). Как действовали Sticky Werewolf Злоумышленники отправляли вредоносные письма, в которых содержалось "поручение" проработать вопрос о необходимости размещения заказов предприятий оборонно-промышленного комплекса в учреждениях уголовно-исправительной системы с привлечением осужденных. В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. На то, что документ "липовый", указывает, среди прочего, несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия "решения", о которых говорится в январской и декабрьской рассылках. Письмо содержит два вложения: 1) Сопроводительное письмо-приманку на бланке Минпромторга 2) Форма заполнения.rar — вредоносный архив, защищенный паролем: 2025. Рисунок 1. Образец фишингового письма. Содержимое вложений Первое вложение содержало фальшивый документ-приманку «Письмо_в_организации_по_привлечению_осужденных.docx». Рисунок 2. Документ-приманка из фишингового письма. Второе вложение содержало запароленный архив. Внутри архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe». При запуске в конечном итоге происходит доставка трояна удаленного доступа Ozone RAT , предназначенного для предоставления скрытого удаленного доступа к скомпрометированному устройству. Рисунок 3. Содержимое вредоносного архива. Рисунок 4. Сведения об атрибуции Ozone RAT, полученные после анализа в F.A.C.C.T. Malware Detonation Platform. Примеры автоматизированных отчетов F.A.C.C.T. Malware Detonation Platform можно посмотреть здесь . Поиск похожих рассылок В ходе дополнительного исследования было обнаружено фишинговое письмо от 23 декабря 2024 года с аналогичной темой, в котором содержалось два фейковых документа «Письмо_в_организации_по_привлечению_осужденных.docx» и «список рассылки.docx». Злоумышленники также атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри. Рисунок 5. Фишинговое письмо, найденное в открытых источниках. Напомним, что в декабре 2023 года Sticky Werewolf дважды атаковали российскую фарму, прикрываясь МЧС и Минстроем , а в январе 2024 года отправляли фейковые письма якобы от ФСБ . Индикаторы компрометации Файловые индикаторы Письмо_в_организации_по_привлечению_осужденных.docx SHA1: 969977a682bac07eb1f9196041077d3c332b2b37 Форма заполнения.rar SHA1: 0919987e12e51e55824959323ed23a9d3387fbad Форма заполнения.pdf.exe SHA1: 74f6f78bd8f1cc30e911350b60fe9b4eaf69e21c rebrand.exe SHA1: 4c92e612f006838f10b50a9aa102c4430f9b8495 ser.vbs SHA1: d558d8501286b0b322a06a2e2f21fc6c03d45316 список рассылки.docx SHA1: 861118c8a32157349c1d3dc76e774c027c05433c Сетевые индикаторы 45[.]155[.]249[.]126 84[.]22[.]195[.]72 bitbucket[.]org/5w457/ed512/downloads/emnfpac[.]txt hXXps://bitbucket[.]org/ghjkkkkkkkk/tdrdreest/downloads/img[.]jpg?537612 hXXps://raw[.]githubusercontent[.]com/gmedusa135/nano/refs/heads/main/new_img123[.]jpg Теги: sticky werewolf кибершпионы опк минпромторг вредоносные рассылки фейковые письма Хабы: Блог компании F6 Информационная безопасность Всего голосов 3: ↑3 и ↓0 +3 Добавить в закладки 1 Комментарии 2 16K+ Охват за 30 дней F6 Telegram 16K+ Охват за 30 дней 19 Карма EditorF6 @EditorF6 Пользователь Подписаться Отправить сообщение Хабр доступен 24/7 благодаря поддержке друзей Хабр Курсы для всех РЕКЛАМА Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать! Перейти Комментарии Комментарии 2 Сайт www.f6.ru Дата регистрации 11 июня 2012 Дата основания 31 января 2025 Численность 501–1 000 человек Местоположение Россия Ваш аккаунт Войти Регистрация Разделы Статьи Новости Хабы Компании Авторы Песочница Информация Устройство сайта Для авторов Для компаний Документы Соглашение Конфиденциальность Услуги Корпоративный блог Медийная реклама Нативные проекты Образовательные программы Стартапам VK Telegram Youtube Яндекс Дзен Настройка языка Техническая поддержка © 2006–2026, Habr
← Back to stories