Поделиться
Группировка Scaly Wolf атакует российское машиностроительное предприятие
В 2023 году специалисты «Доктор Веб» начали расследование таргетированной атаки на российскую компанию машиностроительного сектора. По всей видимости, киберпреступники очень заинтересованы в корпоративных секретах этого предприятия, поэтому спустя два года решили вновь атаковать его. Об этом CNews сообщили представители «Доктор Веб».
Злоумышленники вернулись с новым вредоносным ПО и стойким желанием проникнуть в ИТ-инфраструктуру компании, для чего использовали сразу несколько векторов атаки в попытке заразить целевые компьютеры. В конце июня 2025 г. в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем.
Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке. Атака началась с компьютера, на котором не был установлен антивирус Dr.Web. Отсутствие защиты на нем привело к компрометации сети и заражению еще нескольких устройств. Специалисты проанализировали затронутые рабочие станции и восстановили цепочку событий.
Кто стоит за атакой
Благодаря артефактам, обнаруженным в различных образцах ВПО, с полной уверенностью можно идентифицировать APT-группировку, ответственную за рассмотренную атаку. Эти артефакты были найдены: в модификациях модуля Trojan.Updatar.3; в программах-подделках, выявленных при анализе сетевой инфраструктуры злоумышленников, но не задействованных в текущей кампании.
Кроме того, они встречались в одной из вредоносных программ, использованных в рамках другой целевой атаки на это же предприятие.
Все эти артефакты указывают на то, что данные вредоносные инструменты создавал один и тот же разработчик. Он имеет непосредственное отношение к группировке Scaly Wolf.
Инструменты злоумышленников
При анализе сетевой инфраструктуры бэкдора Updatar наши специалисты выявили ряд вредоносных программ-подделок. Вместе с ними также были обнаружены и трояны Trojan.Uploader.36875 и BackDoor.Siggen2.5423. Они не использовались в рассмотренной атаке, но могли быть задействованы в других кампаниях Scaly Wolf.
Так, Trojan.Uploader.36875 предназначен для отправки файлов с инфицированных компьютеров на сервер злоумышленников. BackDoor.Siggen2.5423 позволяет дистанционно управлять компьютерами через VNC. В свою очередь, программы-подделки демонстрируют окна с различными сообщениями, которые вводят потенциальных жертв в заблуждение. Эти подделки не несут непосредственной угрозы компьютерам, но могут помочь злоумышленникам проводить атаки.
Общие сведения об атаке и используемые инструменты
В начале мая 2025 г. пострадавшая компания стала постоянно получать электронные письма якобы финансового характера. Они содержали фишинговый PDF-документ, а также защищенный паролем ZIP-архив.
Сами письма не имели сопроводительного текста. В PDF-приманках говорилось, что поступивший «финансовый документ» якобы находится в прикрепленном архиве, и для его распаковки необходимо использовать указанный в тексте пароль. Оформление самих фишинговых PDF-файлов при этом могло быть различным. Некоторые были минималистичными. Другие — максимально приближены к официальным.
Располагавшийся в архиве файл на самом деле являлся исполняемым, но злоумышленники замаскировали его под PDF-документ. Для этого они присвоили ему «двойное» расширение (Акт Сверки.pdf.exe). Поскольку ОС Windows по умолчанию скрывает расширения для удобства пользователей, потенциальная жертва не видит последнее из них — настоящее — и ошибочно воспринимает файл как безобидный.
Короткая ссылка
