Поделиться
Bi.Zone: группировка Mysterious Werewolf перешла на собственные инструменты для атак на российский ВПК
Чтобы атаки сложнее было распознать, злоумышленники используют для удаленного доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом. Об этом CNews сообщили представители Bi.Zone.
Группировка Mysterious Werewolf активна как минимум с 2023 г. За это время она не менее трех раз инициировала атаки на предприятия российского ВПК.
Чтобы проникнуть в инфраструктуру, злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023-38831. Преступники рассылали от имени регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал «официальное письмо», WinRAR автоматически должен был исполнить вредоносный файл.
На устройство жертвы устанавливался оригинальный бэкдор RingSpy — программа для удаленного доступа, которая позволяет злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать с него файлы. Для управления бэкдором используется бот в Telegram.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «В ноябре 2023 г. группировка Mysterious Werewolf использовала похожую схему для атак на российские промышленные компании. Однако тогда для удаленного доступа злоумышленники применяли агент Athena фреймворка Mythic — легитимный инструмент для тестирования на проникновение.
Сейчас Mysterious Werwolf комбинирует легитимные сервисы и вредоносное ПО собственной разработки. Цель преступников — дополнительно затруднить обнаружение атаки и долго оставаться незамеченными в скомпрометированной инфраструктуре».
Обнаружить атаку на ранней стадии и не допустить ее развития помогут выстроенные процессы мониторинга и реагирования на инциденты кибербезопасности. А своевременно узнавать о новых методах атак активных кибергруппировок и усиливать защиту компании позволят платформы threat intelligence.
***
Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.
Короткая ссылка
