Поделиться
BI.Zone: Silent Werewolf меняет подходы и инструменты, чтобы оставаться неузнанным
В марте 2025 г. исследователи BI.Zone зафиксировали две новые кампании группировки Silent Werewolf, в ходе которых злоумышленники в очередной раз «сменили имидж». Для каждой серии атак кибершпионы разработали новый уникальный загрузчик — программу, которая устанавливается на устройство жертвы и скачивает на него ПО для кражи данных.
Для доставки замаскированного загрузчика использовались фишинговые письма от лица реально существующих компаний. Иронично, что некоторые жертвы получили загрузчик под видом рекомендаций по защите от кибератак.
Олег Скулкин, руководитель BI.Zone Threat Intelligence, сказал: «Многие организации, особенно крупные, используют в качестве одного из элементов киберзащиты так называемые песочницы. Чтобы выявить вредоносные программы, песочницы запускают подозрительный объект в виртуальной среде и проверяют, представляет ли он угрозу.
Однако злоумышленники Silent Werewolf предусмотрели такой вариант. После запуска загрузчика происходило обращение к серверу атакующих для скачивания другой вредоносной программы. Если страна или организация, в которых был запущен загрузчик, не интересовала атакующих, или же загрузчик был запущен повторно, то вместо ВПО загружался легитимный файл языковой модели LLaMA. Из-за этого песочница уже не могла получить вредоносную нагрузку и собрать больше информации по цепочке атаки».
Если же загрузчик запускал пользователь из целевой для злоумышленников организации, то скачивалась вредоносная нагрузка, которая приводила к компрометации. Если же такой загрузчик анализировался повторно (например, в песочнице), то вместо нагрузки в ходе анализа загружался легитимный файл языковой модели LLaMA.
На момент исследования нагрузка была недоступна, поскольку киберпреступники успели частично замести следы и уничтожить ИТ-инфраструктуру, которую использовали для атаки. Однако ретроспективный анализ похожих кампаний Silent Werewolf показал, что, вероятнее всего, группировка использовала стилер XDigo, который также разработала самостоятельно.
Первая из мартовских кампаний Silent Werewolf была направлена исключительно на российские организации, вторая — на компании из Молдовы и, предположительно, из России. Всего злоумышленники попытались атаковать около 80 организаций из различных отраслей, включая атомную промышленность, приборо-, авиа- и машиностроение.
С фишинговых рассылок начинается более половины всех кибератак на российские организации. Для защиты почты применяют специализированные сервисы, помогающие фильтровать нежелательные письма. Например, BI.Zone Mail Security инспектирует каждое электронное сообщение, используя более 100 механизмов фильтрации, созданных на основе машинного обучения, статистического, сигнатурного и эвристического анализа. При этом такая проверка не задерживает доставку безопасных писем.
А чтобы отследить атаку на ранней стадии и затем оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности, используются решения для защиты конечных точек от сложных угроз, такие как BI.Zone EDR.
Короткая ссылка
